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(54) Title: PERSONAL DATA ARCHIVE SYSTEM 

(54) Bezdchnung: PERSONENDATEN-ARCHTVTERUNGSSYSTEM 



(57) Abstract 

The invention concerns a personal data archive system with portable 
personal storage devices allowing the owner to enter and store personal 
data. Authorization checking devices are allocated to the storage devices 
and grant access to at least some of the personal data stored m the storage 
devices only in the event of a positive aumorization and/or authentication. 

I (57) Zusammenfassung 

Die Erfindung betrifft ein Personendaten-Aichivierungssystem mit 
J transportablen, personlichen Speichereinrichtungen rum Speichern und Auf- 
bewahren von Personendaten beim Inhaber. Dabei sind den Speichere- 
inrichtungen BerechtigungsprQfeinrichtungen zugeordnet, mittels oerer nur 
in Abhtagigkeit von einer positiven Berechtigungs- und/oder Auten- 
! tizitatserkennung ein Zugriff auf zumindest einige der auf den persflnlicnen 
Srjeichereinrichtungen gespeicherten Personendaten freigebbar ist 
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Beschreibung 
Personendaten-Archivierungssystem 

Die Erfindung betrifft ein Personendaten-Archivierungssystem nach dem Oberbegriff 
des Anspaichs 1 . 

In vielen Bereichen des tSglichen Lebens vyerden persfinliche Daten benfitigt, die hau- 
fig jedoch nicht in gesammelter Form zur VerfQgung stehen, so daB sie fiir jeden Be- 
darfsfall aufwendig zusammengesucht und -gestellt werden mussen. Oft gehen dabei 
Informationen verloren oder bleiben unberucksichtigt. 

Lediglich exemplarisch dafur sind Patientendaten zu nennen, anhand derer nachfol- 
gend einige Probleme bestehender Archivierungssysteme beispielhaft dargestellt wer- 
den. 

Die medizinischen Daten eines Patienten werden von vielen Einrichtungen des Ge- 
sundheitssystems erhoben und dokumentiert. Bei der bislang praktizierten Dokumenta- 
tion mittels schriftlicher Eintragungen in Krankenblatter, Karteikarten, Ausweise und 
Passe (z.B. Diabetiker-PaB) und dem bislang praktizierten Informationsaustausch uber 
die Versendung von Arzt- und Krankenhausentlassungsberichten gehen haufig wichtige 
medizinische Daten verloren. 

Wechselt beispielsweise ein Patient seinen Arzt, so verbleiben die vorher gewonnenen 
Daten meist in der Kartei des zuletzt behandelnden Arztes und der nachste Arzt be- 
ginntvon neuem mit seiner Datensammlung. Hinzu kommt in der modemen Medizin 
eine zunehmende Aufeplittung der arztlichen Versorgung in die verschiedenen Fach- 
disziplinen, wobei oft unter den im Einzelfall beteiligten Kollegen eine ungeniigende 
oder sogar keinerlei Kommunikation erfolgt. 
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lm derzeit praktizierten Informationssystem werden daher oftmals diagnostische MaB- 
nahmen deswegen wiederholt, weil dem nachbehandelndem Arzt uber vorausgegan- 
gene Untersuchungen nur schriftlich aufgezeichnete Beurteilungen des Vorgangers 
vorliegen, nicht aber beispielsweise die ursprunglichen RSntgen- oder Ultraschallbilder ■ 
oder Labor- und sonstigen Me&protokolle. Auf Grund im Einzelfall unterschiedlicher 
InterpretationsmOglichkeiten mochte ein Arzt fur seine weiteren MaBnahmen aber ver- 
standlicherweise nicht auf eine eigene Beurteilung von Originalunterlagen verzichten. 

Ein weiterer gravierender Nachteil des bestehenden Informationsaustausches bei Pati- 
entendaten liegt in der Tatsache t daB wichtige medizinische Daten im Notfall oft nicht 
verfugbar sind. Zwar sind in der Vergangenheit eine Reihe von Passen und Ausweisen 
entwickelt worden, wie z.B. der Europaische Notfall-Ausweis, der Impfausweis, der 
Marcumar-Ausweis, der AllergiepaB u.a., jedoch sind in nachteiliger Weise t sofern den 
Patienten solche Dokumente uberhaupt ausgehandigt wurden, wichtige Daten auf ver- 
schiedene Papiere verteilt und Ihr Inhalt ist bei einem Verlust meist nicht rekonstruier- 
bar. 

Einen Fortschritt in der Informationstechnologie im Bereich des Gesundheitswesens 
konnten Patientenkarten in Form von Magnetstreifen- oder Prozessor-Chipkarten dar- 
stellen, die in der Lage sind, medizinische Informationen auf einem mobilen elektroni- 
schen Datentr^ger zu speichem. So sind auch in letzter Zeit einige Kartenprojekte ent- 
standen, welche die Nutzung von Prozessor-Chipkarten zur Datenspeicherung im me- 
dizinischen Bereich zum Ziel haben. 

Die bisher bekannten Entwickiungen von Patientenkarten ftlhren aber nicht zu einer 
wesentlichen Verbesserung der Datenbasis fur die unmittelbare Patientenbetreuung, da 
auf Grund der begrenzten Speicherkapazitat der Prozessor-Chipkarte nur ein kleiner 
Teil der medizinischen Daten eines Patienten berucksichtigt werden kann. So beinhal- 
tet z.B. die Diabcard (GSF Forschungszentrum fur Umwelt und Gesundheit Medis- 
Institut, Postfach 1129, D - 85758 OberschleiBheim) nur fQr die Diabetikerbetreuung 
relevante medizinische Daten. Bei einem anderen Modellprojekt, das von der Kassen- 
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arztlichen Vereinigung Koblenz, dem Zentralinstitut fur die kassenarztliche Versorgung 
und der Bundesvereinigung Deutscher Apothekerverbande in den Stadten Neuwied 
und Andemach gestartet wurde ("PraxisComputer", Nr. 4, 15. 06. 94, Seiten 3 bis 6, 
und Nr. 2, 10. 03. 95, Seiten 8/9), umfaBt der auf einer Patientenkarte gespeicherte 
Datensatz neben den Anamnesedaten nur noch den Impf- und den R6ntgenstatus so- 
wie vom Apotheker an Patienten abgegebene Medikamente. 

Ein weiterer bedeutender Nachteil bestehender Speicherkarten besteht darin. daB die 
gespeicherten Daten nicht wirksam gegen MiBbrauch geschutzt sind. Eine reine Ver- 
schliisselung der gespeicherten Informationen ist nicht ausreichend, da mit einem aus- 
reichend groBen Aufwand letztendlich jeder Code entschlusselt werden kann. Im Fall 
von Patientendaten bedeutet dies, daB letztere, beim Patienten selbst aufbewahrt, 
leicht auch Unbefugten in die Hande fallen kOnnen, die die entsprechenden Informatio- 
nen nach dem Decodieren der Daten zum Nachteil des Patienten verwenden k6nnten. 

Aus der DE 90 18 059 U1 ist ein System zur Speicherung, Bereitstellung und Aktuali- 
sierung von festen und/oder variablen Patienten- und Behandlungsdaten bekannt. Da- 
bei wird von einer stationSren Computer-Zentraleinheit mit einer Speichereinheit, in der 
die in einer Patientenkartei vorhandenen Patientendaten in Form von patientenspezifi- 
schen Datensatzen gespeichert sind, und einer Daten-Schnittstelle zur Ein- und Aus- 
gabe von Patientendaten ausgegangen in Verbindung mit einer mobilen Einheit, wie 
etwa einem portablem Computer, der zur Aufnahme ausgewahlter Oder aller gespei- 
cherten Patientendatensatze vorgesehen ist. So kann ein Arzt auch bei Hausbesuchen 
die Informationen seiner elektronischen Patientenkartei nutzen und letztere auBer Haus 
direkt aktuell halten. Ein individueller Patientendatensatz kann Qber eine Krankenversi- 
chertenkarte aufgemfen und aktiviert werden, so daB die verwaKungstechnischen Be- 
suchsdaten direkt erfaBt werden. Wieder zurtlck in seiner Praxis kann der Arzt dann die 
Daten auf seiner stationaren Computer-Zentraleinheit durch die mobile Einheit aktuali- 
sieren. 
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Der Arzt nimmt hier also seinen eigenen Datensatz zum Patienten mit, anstatt vom Pa- 
tienten selbst dessen gesammelte Daten von versehiedenen Arzten und klinischen Ein- 
richtungen zur Verfugung gestellt zu bekommen. Arztliche Notdienste beispielsweise 
kfinnten dieses System bei unbekannten Patienten daher nicht nutzen. Es werden also ■ 
von Anwendern und nicht von den Personen, welche die Daten betreffen, nur be- 
schrankte Daten lediglich temporar transportabel abgespeichert. 

In der DE 38 15 633 C2 ist eine Datenverarbeitungsanordnung zur zentralen Bearbei- 
tung von medizinischen Daten offenbart. Hierbei werden transportable persftnliche 
Speichereinrichtungen verwendet, die fur eine voriibergehende Speicherung von lau- 
fend erfa&ten Biodaten ausgelegt sind. Zumindest in vorgegebenen Zeitabstanden • 
werden daher die gespeicherten Daten uber eine Telefonstrecke in die Datenverarbei- 
tungsanlage eines Hospitals Gbermittelt. Sicherheitsaspekte spielen bei diesen Spei- 
chereinrichtungen daher keine Rolle. 

Die beiden Druckschriften enthalten somit keine Qber ubliche transportable Spei- 
chereinrichtungen hinausgehende Losungen hinsichtlich der dezentralen Archivierung 
von personlichen Daten. 

Aber auch in anderen Lebensbereichen ist die Zusammenstellung, Handhabung und 
Verfugbarkeit von persOnlichen Daten aufwendig und fuhrt haufig nicht zum angestreb- 
ten vollumfanglichen Ergebnis. Neben der oftmals nicht ausreichenden Speicherkapazi- 
tat der auf Prozessor-Chipkarten verfugbaren Datenspeicher fur die gewunschte Da- 
tenmenge besteht bei einer Speicherung auf transportablen Massenspeichern die Ge- 
fahr einer miBbrauchlichen Verwendung auf Grund einer fehlenden Zugriffsabsiche- 
rung. 

Es ist somit die Aufgabe der vorliegenden Erfindung, ein Personendaten-Archivierungs- 
system zu schaffen, das transportable, personliche Speichereinrichtungen zum Spei- 
chern und Aufbewahren von Personendaten beim Inhaber enthalt und einen hoheren 
Sicherheitsstandard als aus dem Stand der Technik bekannten Systeme ermOglicht. 
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Diese Aufgabe wird mit einem Personendaten-Archivierungssystem nach dem An- 
spruch 1 gelfist. 

Durch die Erfindung ist somit bei einem gattungsgemSBen Personendaten-Archivie- 
rungssystem vorgesehen, daB den Speichereinrichtungen Berechtigungsprufeinrich- 
tungen zugeordnet sind, mrttels denen nur in Abhangigkeit von einer positiven Berech- 
tigungs- und/oder Authentizitatserkennung ein Zugriff auf zumindest einige der auf den 
personlichen Speichereinrichtungen gespeicherten Personendaten freigebbar ist. 

Insbesondere sind durch die Erfindung die Sicherheitsnachteile des Standes der Tech- 
nik behoben. Ein DatenmiBbrauch ist zumindest weitgehend unmfiglich oder wenig- 
stens in Anbetracht des erforderlichen Aufwandes unrentabel durchzufQhren. 

Dadurch, daB erfindungsgemaB ein Zugriff zumindest auf einige der Daten nur nach 
erfolgter Authentisierung und Autorisierung mdglich ist, wird sichergestellt, daB die 
mbglicherweise zusatzlich verschlOsselten Daten fur Unbefugte nicht zugSnglich sind, 
urn diese Daten zur Informationsgewinnung zu decodieren. 

Wenn ein solcher berechtigungsabhangiger Zugriff nicht fur samtliche Datenbereiche 
vorgesehen ist, kdnnen auch Daten gespeichert werden, die frei zugflnglich sind, wie 
es beispielsweise fur Notfalldaten von Vorteil sein kann. 

Als weiterer wesentlicher Vorteil wird durch die Erfindung ferner die Mdglichkeit ge- 
schaffen, groBere personliche Datenmengen dezentral mit ausreichender Sicherheit zu 
speichern, wofur transportable Speichereinrichtungen mitgrSBeren Speicherkapazita- 
ten in das System integriert werden kbnnen. Solange namlich nicht die gewunschte 
Sicherheit der gespeicherten Daten vor unberechtigtem Zugriff realisierbar war, war die 
entsprechende Speicherung solcher bedeutenden persdnlichen Daten im Zustandig- 
keitsbereich jeder Person selbst aus Datenschutzgesichtspunkten nicht vernQnftig 
durchfuhrbar. Erst durch die vorliegende Erfindung kbnnen nun auch groBe Datenmen- 
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gen ausreichend geschutzt werden, so daB nunmehr iiberhaupt erst sinnvoll an die 
Einbindung entsprechend ausreichend groBer Speichermedien herangegangen werden 
kann, wie es beispielsweise durch bevorzugte Ausgestaltungen der Speichereinrich- 
tungen der Erfindung erfolgt ist. D.h., daB es im speichertechnischen Sinn zwar grund- ■ 
satzlich kein Problem darstellt, Massenspeicher fur groBe Datenmengen bereitzustel- 
len, derartige Speichermedien aber nicht selbst die fur die personlichen Daten erforder- 
liche Zugriffssicherheit bieten, wie sie durch die Erfindung geschaffen wurde. 

Beispielsweise kann der Zugang zu den gespeicherten Daten sowie der Umfang dieses 
Zugangs z.B. auBer zu gespeicherten Notfalldaten ausschlieBlich vom Inhaber der 
Speichereinrichtungen bestimmt werden. 

Die Sicherheitseinrichtungen bei dem erfindungsgemaBen Personendaten-Archivie- 
rungssystem, d.h. die BerechtigungsprQfeinrichtungen, konnen bei einer gegenseitigen 
Identifizierung von Speichereinrichtungen und Zugriffsgeraten beginnen und uber die 
Registrierung einer Benutzererkennung durch die BerechtigungsprQfeinrichtungen bis 
zur Nachrichtenverschlusselung und -authentifikation durch eine z.B. elektronische 
Unterschrift gehen. 

Durch die im Erfindungsumfang enthaltenen Sicherheitsoptionen wird eine auBerst ho- 
he Datensicherheit erreicht, wie sie beispielsweise nicht nur im medizinischen Bereich 
bislang noch nicht realisiert werden konnte. 

Die Erfindung hat auBerdem den Vorteil, daB z.B. EDV-Hardware verwendet werden 
kann, die bereits als Massenprodukt fur einen gunstigen Preis zur Verfiigung steht, was 
den finanziellen Aufwand vemunftig abschatzen laBt und in vernunftigen niedrigen 
Grenzen halt. Durch entsprechende Schnittstellen mit gangigen Praxisverwaltungspro- 
grammen ist die Einbindung der vorgenannten ublichen Hardware oder einer speziellen 
Hardware und entsprechender Software in die vorhandene Praxis-EDV eines Arztes 
oder einer klinischen Einrichtung leicht moglich, was in der Bundesrepublik Deutsch- 
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land z.B. Qber die vorhandene Schnittstelle "Behandlungsdatentrager" (BDT) gewahr- 
leistet ist. 

Beispielsweise bei einer Anwendung der Erfindung als Patientendaten-Archivierungs- 
system kann eine direkte Personalisierung und Aktualisierung relevanter Daten in der 
Arztpraxis selbst erfolgen. Bereits jetzt ist absehbar, daB medizinische Daten zukunftig 
immer mehr primar auf z.B. digitalen Medien erfaBt und gespeichert werden. Bei dem 
erfindungsgemaBen System wird der Patient in die Lage versetzt, sich die Daten noch 
in der Arztpraxis direkt auf sein Speichermedium uberspielen zu lassen, insbesondere 
medizinische Daten fur Ausweisfunktionen und die Aufiistung von Diagnosen und Dau- 
ermedikationen. Weitere umfangreichere Text- und Bilddaten kdnnen alternativ zur 
Oberspielung auf die patientenspezifischen Speichereinrichtungen in der Arztpraxis in 
Personalisierungsburos digitalisiert und auf die Speichereinrichtungen geschrieben 
werden. Eventuell kann vor einer Digitalisierung eine Verkleinerung Oder sogar Mikro- 
verfilmung durchgefuhrt werden, urn den Speicherplatzbedarf zu minimieren. 

Eine Alternative zu den personlichen transportablen Speichereinrichtungen kfinnte in 
der multimedialen Datenkommunikation ein allgemeiner Datenverbund in der ambulan- 
ten Medizin sein, was beispielsweise mit Hilfe der ISDN-Vernetzung realisiert werden 
konnte. Die Telemedizin wird bereits in Krankenhausern, Forschungsstatten und an 
Universitaten erprobt. Bei diesen Projekten geht es in erster Linie urn Telekonsultation, 
also z.B. den Austausch von diagnostischem Bildmaterial zum Zweck der gemeinsa- 
men Befundung. Daneben gibt es in diesem Bereich noch weitere sinnvolle Perspekti- 
ven, wie die Telekommunikation im administrativen Sektor oder die Teletherapie. 

In der ambulanten Medizin sind aber vollig andere Voraussetzungen und Ziele gege- 
ben. In der ambulanten Medizin kommt der Patient zum Arzt oder umgekehrt. Dabei 
kann der Patient problemlos als Oberbringer von Daten fungieren, wodurch keinerlei 
Kosten entstehen, wie es im Vergleich mit der Datenvernetzung der Fall ware. Bei einer 
Datenaustauschvemetzung besteht weiterhin die Gefahr. Produkte und Dienstleistun- 
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gen am technisch Machbaren auszurichten und dabei die tatsfichlichen Bedurfnisse 
des Patienten aus den Augen zu verlieren. 

Bei der Telemedizin muB mit erheblichen Akzeptanzproblemen gerechnet werden. Der 
Austausch von persSnlichen medizinischen Daten Qber Datenautobahnen schQrt beim 
Patienten - vielleicht nicht zu Unrecht - die Angst vor dem "glasernen Patienten". Ferner 
konnten bei einer Datenfernubertragung unautorisierte Personen eine Moglichkeit ha- 
ben, an die gespeicherten Daten zu gelangen. 

Es liegt aber eine we'rtere Nutzungsmoglichkeit der vorliegenden Erfindung darin, das 
Personen- oder insbesondere Patientendaten-Archivierungssystem und die Telemedi- 
zin synergetisch zu verbinden. So konnen die persfinlichen Speichereinrichtungen, wie 
beispielsweise eine Prozessor-Chipkarte in Verbindung mit einem transportablen Mas- 
senspeicher unter Einbeziehung von geeigneten ZugriffsgerSten gleichsam ais Peri- 
pheriestation dienen und patientenbezogene Daten nach erfolgter Schreibzugriffsfrei- 
gabe von verschiedenen Quellen aufnehmen. Oder in umgekehrter Richtung kann ein 
konsiliarisch hinzugezogener Arzt uber z.B. das ISDN-Netz auf die Daten der Spei- 
chereinrichtungen zugreifen, sobald die Berechtigungserkennung erfolgt ist. Bei einer 
noch weiteren Anwendung kann ein Patient durch ein personliches Zugriffsgerdt bei 
einem Anruf bei einem Arzt beispielsweise parallel zum GesprSch uber den zweiten 
Kanal des ISDN-Anschlusses dem Arzt seine Daten von den Speichereinrichtungen zur 
Verfugung stellen, wobei er mit seiner eigenen Berechtigung fur die Zugriffsfreigabe 
sorgt. 

Ein weiterer Vorteil der vorliegenden Erfindung liegt darin, da& bestehende Datensy- 
steme und -strukturen problemlos ubernommen und weitergefuhrt werden konnen. Z.B. 
kann bei einem Patientendaten-Archivierungssystem durch die Obemahme vorhande- 
ner Protokolle fur einen Datenaustausch der in der Bundesrepublik Deutschland bereits 
eingefuhrten Krankenkassenkarte und des zugehdrigen Lesegerats ein frei zugangli- 
cher Bereich der Speichereinrichtungen - vorzugsweise eine als eine Art Text- oder 
Textaufzeichnungskarte fungierende Prozessor-Chipkarte - im Empfangsbereich jeder 
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Arztpraxis oder in der Aufnahmestation jedes Krankenhauses in Deutschland gelesen 
werden. Der Zugriff auf die Notfalldaten ist zumindest gegen einen Zugriff durch Arzte 
nicht geschQtzt, so daB diese Daten auch bei Bewustlosigkeit des Patienten zugangiich 
sind. Alternativ kann als gewisser Schutz der Notfalldaten eine Zugriffsgerateidentifika- 
tion eingebaut sein, wobei Arzte und Rettungsdienste dann zweckmaBigerweise Qber 
geeignete Zugriffsgerate verfugen. Hierbei bezieht sich die AuthentizitatsprOfung bzw. 
der Authentizitasnachweis auf z.B. das Lesegerat selbst. Die Prozessorkarte, die ein 
Beispiel fur einen geeigneten Speichereinrichtungsteil ist, ermittelt in diesem Fall also 
bedienerunabhangig, ob das jeweilige Lesegerat zugriffsberechtigt ist. Diese so gearte- 
te Priifung kann auch far andere Datenbereiche als den Notfalldatenbereich verwendet 
werden. 

Eine andere M6glichkeit, die Daten, die die Versorgung fur den medizinischen Notfall 
betreffen in in einer Notsituation nicht hinderlicher Weise zu schOtzen, so daft sie nur 
einem bestimmten Personenkreis ohne groBen Aufwand zugangiich sind, besteht in 
einer Arztkarte, durch die eine entsprechende Zugriffsfretgabe erreicht wird. Mit der 
Arztkarte oder allgemein einer ,, Profikarte ,, oder Berechtigungskarte kann sich eine per 
se zugriffsberechtigte Person gewissermaBen z.B. in ein Lesegerat einloggen. Bis zum 
Ausloggen der Person k6nnen uber das Lesegerat die soweit freigegebenen Daten auf 
den Speichereinrichtungen gelesen werden. Somit kann personenbezogen die Zu- 
griffsberechtigung medizinischer Leistungsbringer geregelt werden. 

In jedem Fall (auch dem vorher geschilderten) wird auf der beispielsweise als ein Teil 
der Speichereinrichtungen vorgesehenen Prozessorkarte nach einem Zugriff vermerkt, 
mit welchen Lesegerat bzw. mit welcher Profikarte auf die Prozessorkarte zugegriffen 
wurde. So kann z.B. das Lesegerat eines bestimmten Krankenwagens ermittelt werden, 
uber das ein Zugriff ausgefuhrt wurde. Qber den Dienstplan kann dann der Name des 
verantwortlichen Arztes ermittelt werden. Veriauft eine AuthentizitatsprOfung positiv, so 
erfolgt auch gleichzeitig die Autorisierung fOr einen Speicherzugriff durch z.B. die Pro- . 
zessorkarte selbst. 



WO 96/08755 



PCTYEP95/03597 



10 



10 



15 



Nur die sonstigen Daten z.B. der Textkarte und einer Bild- Oder Bildaufzeichnungskarte 
als Massenspeicher, die durch einen Massenspeicher gebildet ist, kdnnen beispiels- 
weise erst nach Eingabe einer nur dem Patienten bekannten, persdnlichen Identifikati- 
onsnummer (PIN) abgerufen werden. Die Eingabe der PIN erfolgt durch den Patienten • 
uber eine separate Zahlentastatur im Sprechzimmer des Arztes. Auf z.B. der Prozes- 
sorkarte als einerseits Berechtigungseinrichtungsbestandteil und andererseits Spei- 
chereinrichtungsteil ist gewissermatten ein Inhaltsverzeichnis der gesamten Spei- 
chereinrichtungen hinterlegt. 

Aktuelle Untersuchungsbefunde, wie Labor- oder Blutdruckwerte. Daten fur Vor- und 
Nachsorgeuntersuchungen, Passe usw. kdnnen jederzert vom behandelnden Arzt di- 
rekt in der Sprechstunde zur laufenden Dokumentation erganzt werden. Ferner kdnnen 
z.B. Krankenkassen Updates versenden, die mittels eigenen Geraten, beim Arzt oder 
bei der Krankenkasse installiert werden kdnnen. Diese Daten kOnnen auf einem Mas- 
senspeicher beispielsweise in verschlOsselter Form vorliegen. Nur durch einen chipkar- 
ten-gestutzten oder -freigegebenen Zugriff sind bei einem AusfOhrungsbeispiel diese 
Daten entschlOsselbar, wofOr wegen der eventuell sehr gro&en Datenmenge ein Co- 
prozessor als Kryptoeinheit eingesetzt wird, die z.B. ebenfalls auf der Chipkarte ange- 
ordnet ist. 

GemaB einer vorteilhaften Weiterbildung der Erfindung kann mittels den Berechti- 
gungsprufeinrichtungen eine Mehrzahl von Prufstufen ausfuhrbar sein. Der damit er- 
zielbare Vorteil liegt darin, daB die gespeicherten Daten abgestuft vor unberechtigten 
Zugriffen geschQtzt werden kOnnen. So kann es beispielsweise wunschenswert sein, 

5 daft zumindest im eigenen Beisein ein Apotheker auf Informationen betreffend bisher 
verabreichte Medikamente zugreifen kann, ein Sachbearbeiter einer Bank bei einem 
Bankwechsel Dauerauftrags- und Einzugsermachtigungsdaten in die Datenbank des 
neuen Instituts OberfOhrt, ein Taxifahrer sich die exakt bezeichnete Zieladresse auf sei- 
nem Display anzeigen lassen kann, urn nicht durch einen Verstandigungsfehler zu ei- 

» nem falschen Ziel zu fahren oder das Ziel nicht zu kennen, usw. 
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Bei einer bevorzugten Ausgestaltung der Erfindung enthalten die Speichereinrichtun- 
gen zumindest teilweise ein zum Hinzufugen und/oder Andern von Personendaten be- 
schreibbares und insbesondere wiederbeschreibbares Speichermedium. Damit kfinnen 
in vorteilhafter Weise die gespeicherten Informationen problemlos aktuell gehalten wer- • 
den, ohne bei Datenanderungen oder -hinzufugungen immer wieder neue komplette 
Speichereinrichtungen herstellen zu mQssen, was im Hinblick auf eine mdglichst groBe 
Sicherheit in Abhangigkeit von konkreten Anwendungsfailen aber auch Vorteile hat Ein 
wiederbeschreibbares Speichermedium hat den Vorteil, daB der vorhandene Spei- 
cherplatz optimal genutzt werden kann, da keine unnStigen oder veralteten Daten ge- 
speichert bleiben. Ein einmalig beschreibbares Speichermedium hat den Vorteil, daB 
Daten nicht versehentlich geloscht werden und dabei unwiederbringbar verloren gehen 
konnen. 

Dadurch, daB die BerechtigungsprOfeinrichtungen zum Freigeben eines Lese- und/oder 
Schreibzugriffs auf das beschreibbare Speichermedium in Abhangigkeit von einer ins- 
besondere entsprechenden Berechtigungs- und/oder Authentizitatserkennung ggf. in 
einer zugehSrigen Prufstufe ausgelegt sind, kann vorteilhaft sichergestellt werden, daB 
die Zugriffsberechtigung mdglichst praxisgerecht handhabbar ist. Dasselbe trifft fur den 
Fall zu, daB zumindest ein Teil des beschreibbaren Speichermediums schreibgeschutzt 
oder schreibschQtzbar ist, wie bei einer Weiterbildung der Erfindung vorgesehen ist. 

Wenn die Speichereinrichtungen einen ersten Teil und zumindest einen zweiten Teil mit 
insbesondere unterschiedlichen Speicherkapazitaten enthalten, wird eine Grobeintei- 
lung der zu speichernden oder gespeicherten Daten mttglich, wobei z.B. ein kleiner, 
schneller Speicher fur haufig genutzte Daten und ein groBer, langsamer Speicher fur 
selten benOtigte groBe Datenmengen mit Vorteil einsetzbar ist. Ferner kann ein Spei- 
cher fur die Entscheidungsfindung der BerechtigungsprOfeinrichtungen erforderliche 
Informationen enthalten, wodurch auch der andere Speicher geschOtzt wird. 

Bei einer bevorzugten Ausfiihrungsform der Erfindung ist der erste Teil der Spei- 
chereinrichtungen kapazitatsmaBig am kleinsten und ein Ausweis-, Identifikations- oder 
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Stammdatenspeicherteii. Praktischerweise kann gemaB einer Weiterbildung dieser 
AusfUhrung auf die auf dem ersten Teil der persdnlichen Speichereinrichtungen ge- 
speicherten Personendaten, wie Ausweis-, Identifikations- oder Stammdaten, unab- 
hangig von den Berechtigungsprufeinrichtungen oder mit einer positiven Berechti- 
gungs- und/oder Authentizitatserkennung in einer ersten Prufstufe der Berechtigungs- 
prufeinrichtungen zugegriffen werden. Damit steht ein Speicher zur Verfugung, der z.B. 
zum Speichern von Notfalldaten geeignet ist, die auch ohne Mitwirkung des Inhabers 
zugSnglich sein soltten. 

Eine besonders bevorzugte Ausfuhrungsform der Erfmdung ist dergestalt, dad nur in 
Verbindung mit wenigstens dem ersten Teil der Speichereinrichtungen auf zumindest 
einen zweiten Teil der Speichereinrichtungen zugegriffen werden kann. Dies ist eine 
besonders sichere Struktur, urn einen unbefugten Zugriff auf die Informationen im 
zweiten Teil der Speichereinrichtungen auszuschlie&en. 

In weiterer Ausgestaltung beispielsweise der vorstehenden AusfOhrungsform ist erfin- 
dungsgemSB bevorzugt daB der zweite, relativ zum ersten Teil kapazitatsmaBig grbfce- 
re Teil der Speichereinrichtungen ein Detaildatenspeicherteil ist, dessen Inhalt somit 
besonders sicher ist Diese Sicherheit kann weiter dadurch erhoht werden, dali auf die 
auf dem zweiten Teil der personlichen Speichereinrichtungen gespeicherten Personen- 
daten, wie Detaildaten, nur in Abhangigkeit von einer positiven Berechtigungs- 
und/oder Authentizitatserkennung ggf. in einer zweiten PrQfstufe mittels der Berechti- 
gungsprQfeinrichtungen zugreifbar ist. 

Eine weitere besonders bevorzugte Realisierung der Erfindung besteht darin, daB die 
wenigstens ersten und zweiten Teile der Speichereinrichtungen durch separate erste 
bzw. zweite Speichervorrichtungen insbesondere auf verschiedenen ersten bzw. zwei- 
ten Datentragern gebildet sind. Die raumliche Trennung der Speichereinrichtungsteile 
insbesondere auf separaten Datentragern tragt in vorteilhafter und besonders einfacher 
Weise zu einer hohen Sicherheit des erfindungsgemaBen Systems bei, da es dadurch 
mdglich ist, den Datentrager mit den kritischeren Daten sicher aufzubewahren, solange 
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er nicht benotigt wird, was meist relativ selten der Fall ist. Ferner kann das System so 
eingerichtet sein, wie waiter oben angegeben ist, daB auf den zweiten Speichereinrich- 
tungsteil nur in Kombination mit dem ersten Speichereinrichtungsteil zugegriffen wer- 
den kann. Wird somit dafur gesorgt, daB nicht beide Speichereinrichtungsteile gemein- • 
sam abhanden kommen kSnnen, sind die Daten auf dem zweiten Speichereinrichtungs- 
teil absolut sicher. 

Gemafc bevorzugten AusfQhrungen der Erfindung ist der erste Teil der Speichereinrich- 
tungen bzw. die erste Speichervorrichtung eine magnetische, magneto-optische Oder 
optische Speicherflache Oder ein Speicherchip insbesondere auf oder in einer vor- 
zugsweise etwa scheckkartengroBen Kunststoffkarte als Datentrager. Femer ist der • 
zweite Teil der Speichereinrichtungen bzw. die zweite Speichervorrichtung bevorzugt 
ein elektronischer, magnetischer (z.B. Diskette oder Streamer-Tape), magneto-opti- 
scher oder optischer (z.B. CD-ROM ggf. beschreibbar oder WORM: "Write Once Read 
Many") Massenspeicher insbesondere in Form einer 2,5 oder 3,5 Zoll groBen Diskette 
oder ein Halblerterspeicher einer PCMCIA-Einheit (Personal Computer Memory Card 
International Association) als Datentrager. Als eine derartige Kombination konnen bei- 
spielsweise eine Prozessor-Chipkarte mit den Berechtigungsprufeinrichtungen und ei- 
nem kleineren Speicher und eine MO- (magneto-optische) Platte zur Speicherung gro- 
Ber Datenmengen einschlieBlich Bildem kombiniert eingesetzt werden, wobei der Zu- 
griffsschutz der MO-Platte durch die Prozessor-Chipkarte erfolgt, far einen Zugriff auf 
die MO-Platte also zumindest die Prozessor-Chipkarte vorhanden sein muB. 

Die Verteilung z.B. medizinischer Informationen auf beispielsweise eine Prozessor- 
Chipkarte und ein Massenspeichermedium gewahrleistet einen per se abgestuften Da- 
tenzugang und somit eine hohe Sicherhert, die weiterhin dadurch erhoht wird, daB die 
Chipkarte gewissermaBen als Schlussel einerse'rts fur einen Zugriff auf die auf ihr selbst 
gespeicherten Daten und andererseits auf das Massenspeichermedium fungiert. Zu- 
satzlich kOnnen auch noch die Daten auf dem Massenspeichermedium verschlusselt 
sein, urn eine noch hbhere Sicherheit zu gewahrleisten. 
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Als Prozessor-Chipkarte, die bei der vorstehend beschriebenen Kombination mit einem 
Massenspeicher als *Textkarte" fungiert t kann eine Prozessorkarte entsprechend den 
geltenden DIN-Vorschriften oder ISO-Standards mit einer Speicherkapazitat von acht 
oder sechszehn Kilobytes verwendet werden, was bei einer Komprimierung der darauf 
zu speichernden Daten eine ausreichende Informationsmenge fUr Notfaile und Uber- 
sichten ermdglicht. Der Massenspeicher, der auch als "Bildspeicher" bezeichnet wer- 
den kann, hat als Minidisk oder magneto-opische Platte (MO-Platte) beispielsweise ei- 
ne Kapazitat von 140 Megabyte oder sogar bis zu 650 Megabyte. MO-Platten sind mit 
2,3 oder 3,5 Zoll relativ klein und handlich und konnen ausreichend groBe Datenmen- 
gen aufnehmen. Hinzu kommt, daB die Daten auf einer MO-Platte beliebig oft uber- 
schrieben, aber unter Alltagsbedingungen nicht versehentlich geloscht werden konnen. 

Die Textkarte speichert in Schriftform vorliegende Informationen und leistet durch eige- 
ne "Intelligenz" den Zugriffeschutz fQr beide Datentrager beispielsweise unter Einbezie- 
hung von Verschlusselungsalgorithmen, wahrend die Bildkarte die Speicherung von 
groBen Datenmengen ubernimmt, also von Abbildungen (Rfintgen-, Ultraschall- und 
Endoskopiebilder usw.), von Biosignalen (z.B. EKG, EEG) oder auch von Texten zur 
Anamnese, die auf der Prozessorkarte keinen Platz mehr finden. Insbesondere kann 
die Textkarte bei einem Patientendaten-Archivierungssystem Informationen, wie Ver- 
waltungsdaten, einen Notfall-Ausweis, Anamnese, Befund, Vor- und Nachsorge sowie 
einen PaB u.a. enthalten. 

Fur die Erfindung kommt es jedoch nicht darauf an, ob und ggf. wie die Speichermedi- 
en zusammengesetzt sind, sondern nur darauf, da& ein wirksamer Zugriffsschutz reali- 
siert ist. Beispielsweise kann ein optischer Speicher mit sehr groller Kapazitat auch als 
einziger Speicher verwendet und auf einer etwa scheckkartengroBen Kunststoffkarte 
untergebracht werden. Durch physikalisches Lochbrennen sind beispielsweise Spei- 
cherkapazitaten tm Bereich von 1 Gigabyte pro cm 2 Kunststoffolie als Datentrager mog 
lich, so daB beziiglich einer so ausgestalteten Karte externe Massenspeicher unndtig 
sind. 
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Ein vorzugsweiser Aufbau der Erfindung besteht darin, daB zumindest einem Teil der 
Speichereinrichtungen Prozessoreinrichtungen zugeordnet sind, die vorzugsweise auf 
dem Datentrager, wie z.B. einer Kunststoffkarte, angeordnet sind und insbesondere 
einen Prozessor enthatten. Besonders vorteilhaft konnen derartige Prozessoreinrich- 
tungen fDr die BerechtigungsprQfeinrichtungen genutzt werden. Die Prozessoreinrich- 
tungen gewShrieisten dabei durch eine eigene "Intelligenz" den Zugriffeschutz far die 
Speichereinrichtungen. Dabei ist weiterhin bevorzugt, daB die Prozessoreinrichtungen 
zur Steuerung von zumindest Teilen der Speichereinrichtungen und/oder zur wenig- 
stens teitweisen Steuerung von Zugriffen auf letztere und/oder insbesondere als Teil 
der BerechtigungsprQfeinrichtungen ausgelegt sind. 

Zur Erhohung der Datensicherheit ist es femer von Vorteil. wenn den Speichereinrich- 
tungen Kryptoeinrichtungen vorgeschaltet sind, deren Betrieb insbesondere mittels der 
Berechtigungspriifeinrichtungen zur Bearbeitung von Zugriffen auf die Speichereinrich- 
tungen freigebbar ist. D.h., daB ein Ver- und Entschliisseln der gespeicherten Daten 
von einer Zugriffsfreigabe durch die Berechtigungseinrichtungen abhangt. Bevorzugt 
sind die Kryptoeinrichtungen in ggf. vorhandenen Prozessoreinrichtungen enthalten 
und weisen vorzugsweise einen Kryptoprozessor auf. 

Wenn ein Teil der Speichereinrichtungen und/oder die BerechtigungsprQfeinrichtungen 
auf einer Prozessor-Chipkarte realisiert sind, kann beispielsweise letztere auch eine 
Kryptoeinheit aufnehmen. Prozessoreinrichtungen kdnnen aber auch ganz Oder teilwei- 
se in einem Zugriffsgerat oder in zugeordneten Rechnereinrichtungen untergebracht 
sein. 

Allgemein kdnnen Kryptoeinrichtungen z.B. ein asymmetrisches Verschlusselungsver- 
fahren (RSA) verwenden. 

Urn zu verhindern, daB unerwunschte Kopien der gespeicherten Daten angefertigt wer- 
den konnen, sieht eine Fortbildung der Erfindung vor, daB Kopierschutzeinrichtungen 
vorgesehen sind, mittels denen ein Speichern von zumindest einigen Daten, die auf 
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den persSnlichen Speichereinrichtungen, insbesondere ggf. deren zweiten Teil, gespei- 
chert sind, auf bezQglich letzteren externen Speichern unterbindbar ist und/oder ein 
Speichern von zumindest einigen Daten, die auf dem ersten Teil der Speichereinrich- 
tungen gespeichert sind, auf bezQglich letzteren externen Speichern zulaBbar sind. 
Letzteres ermdglicht z.B. die problemlose Obernahme von Patientenname, -adresse 
und Krankenkassendaten fur die Rezeptausstellung und Behandlungsabrechnung. 

In ahnlicher Weise wirken Druckausgabeschutzeinrichtungen, die vorgesehen sein 
kSnnen und mittels denen eine Druckausgabe von zumindest einigen Daten unterbind- 
bar ist, die auf den persSnlichen Speichereinrichtungen, insbesondere ggf. deren 
zweiten Teil, gespeichert sind und/oder ein Drucken von zumindest einigen Daten zu- 
laBbar ist, die auf dem ersten Teil der Speichereinrichtungen gespeichert sind. Letzte- 
res ermSglicht eine problemlose Erstellung z.B. eines schriftlichen Behandlungsberichts 
fGr einen Arzt. 

Urn zu verhindern, daB die einer Person genehmigte Einsichtnahme in die Daten durch 
Harware-Einrichtungen gleichzeitig unbeabsichtigt beispielsweise Qber zusatzliche Bild- 
schirme oder mittels Netzwerkkarten sogar andere Rechner auch weiteren Personen 
zuganglich sind, sollten Ausgabebeschrankungseinrichtungen vorgesehen sein, mittels 
denen eine Ausgabe von zumindest einigen Daten, die auf den pers&nlichen Speicher- 
einrichtungen, insbesondere ggf. deren zweiten Teil, gespeichert sind, auf mehr als ein 
Ausgabemedium unterbindbar ist. 

Urn jedoch willentliche Kopien, Druckausgaben und Mehrbildschirmanzeigen, Netz- 
werkQbertragungen etc. der aufgerufenen Daten zuzulassen, konnen die entsprechen- 
den vorgenannten Schutzeinrichtungen mittels der Berechtigungsprufeinrichtungen 
durch eine entsprechende positive Berechtigungs- und/oder Authentizitatserkennung 
ggf. in einer zugehorigen Prufetufe neutralisiert werden. 

Eine einfache, schnelle und wirkungsvolle Sicherungseinrichtung besteht darin, daB die 
Berechtigungsprufeinrichtungen ausgelegt sind, Geratekennungen von Zugriffsgeraten 
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fur die Handhabung der Speichereinrichtungen in eine Prufung zur Berechtigungs- 
und/oder Authentizitatserkennung ggf. zur Erfullung einer insbesondere ersten Prufstu- 
fe einzubeziehen. Eine derartige BerechtigungsprOfung kann z.B. filr eine Zugriffsfrei- 
gabe auf Notfalldaten ausreichend sein und durch Bereitstellen entsprechender Zu- 
griffsgerate fur Notdienstpersonal oder -fahrzeuge sicher realisierf werden. 

Zusatziich oder alternativ kOnnen die persSnlichen Speichereinrichtungen Kennungen 
aufweisen, die von den Berechtigungsprufeinrichtungen in eine Prufung zur Berechti- 
gungs- und/oder Authentizitatserkennung ggf. zur Erfullung einer insbesondere ersten 
Prufstufe einbeziehbar sind. Damit kann beispielsweise sichergestellt werden, daB es 
sich nicht um gefalschte Speichereinrichtungen handelt, deren falsche Daten im medi- 
zinischen Bereich zu einer gefahrlichen Falschbehandlung fuhren kOnnen. Auch daran 
istdeutlich zu sehen, wie wichtig z.B. im Bereich der Patientendatenarchivierung die 
zuverlassige Bereitstellung der richtigen Daten ist. 

Die bei der vorliegenden Erfindung bevorzugt eingesetzten Sicherheitskomponenten 
sind Benutzer- und/oder Inhaberidentifikationen von zumindest einem Anwender bzw. 
dem Inhaber, dessen Daten in den Speichereinrichtungen archiviert sind. Derartige 
Kennungen werden von den Berechtigungsprufeinrichtungen vorzugsweise in eine 
Prufung zur Berechtigungs- und/oder Authentizitatserkennung ggf. zur Erfullung einer 
insbesondere zweiten Prufstufe und ggf. weiterer Priifstufen zur Freigabe eines Zugriffs 
auf zumindest einige der auf den personlichen Speichereinrichtungen gespeicherten 
Personendaten einbezogen. 

Besonders einfache Moglichkeiten zur Eingabe von Anwenderkennungen, wie eine Be- 
nutzer- bzw. Inhaberidenfrfikation, fQr die Berechtigungsprufeinrichtungen erfolgt iiber 
manuelle und/oder elektronische Eingaben, wie beispielsweise von einer Berechti- 
gungskarte. 

Um jederzeit vorgenommene Informationszugriffe und Eintrage personell zuordnen zu 
k6nnen, ist es vorteilhaft, wenn durch die Berechtigungsprufeinrichtungen zugelassene 
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Zugriffe auf den Speichereinrichtungen mit den dafur relevanten Daten, wie Gerateken- 
nungen von ZugriffegerSten und/oder Benutzer- und/oder Inhaberidentifikationen, ins- 
besondere auf den Speichereinrichtungen selbst dokumentierbar sind. 

Urn dem Inhaber der Speichereinrichtungen die darin oder darauf enthaltenen Informa- 
tionen zuganglich zu machen, oder urn ihm selbst Aktualisierungen zumindest bestimm- 
ter Daten zu erm6glichen, sind bei einer vorzugsweisen Ausgestaltung des erfindungs- 
gemaften Systems personliche Zugriffsgerate vorgesehen, mittels denen vom Inhaber, 
dessen Daten in den Speichereinrichtungen archiviert sind, und/oder von Anwendern 
der Speichereinrichtungen in Abhangigkeit von einer insbesondere entsprechenden 
Berechtigungs- und/oder Authentizitatserkennung ggf. in einer zugehorigen Priifstufe 
auf zumindest einige der archivierten Daten zum Zweck der Information, Datenande- 
rung/-erganzung und/oder Weitergabe auch uber DatenfemQbertragung zugreifbar ist. 
Damit kfinnen z.B. auch bei telefonischen Beratungen, Vereinbarungen, Bestellungen 
etc. erforderliche Daten problemlos dem Gesprachspartner zur Verfugung gestellt wer- 
den. Eine derartige Datenfemtibertragung wird z.B. durch das zweikanalige ISDN-Netz 
begQnstigt, in dem ohne weiteres die Gesprachs- und die DatenQbertragung gleichzei- 
tig mdglich sind. 

FQr Kunden-, Patienten- und Mandantenbesuche einerseits und die Arbeit in der Firma, 
Praxis bzw. Kanzlei andererseits ist es weiter von Vorteil, wenn mobile und/oder statio- 
nare Zugriffsgerate vorgesehen sind, mittels denen von Anwendern in Abhangigkeit von 
einer insbesondere entsprechenden Berechtigungs- und/oder Authentizitatserkennung 
ggf. in einer zugehfirigen Priifstufe auf zumindest einige der archivierten Daten zum 
Zweck der Information und/oder Datenanderung/-erganzung zugreifbar ist. Dadurch 
kann das System Qberall und jederzeit einsatzbereit gehalten und konnen z.B. auch 
Rettungsfahrzeuge, Polizeifahrzeuge usw. problemlos so ausgestattet werden, dafi 
eine Nutzung der gespeicherten Informationen an jeglichem Einsatzort moglich ist. 

Fur die Kosten der Zugriffsgerate ist es von Vorteil, da& letztere beispielsweise grund- 
satzlich fur einen Schreib- und/oder Lesezugriff ausgelegt sind, wobei zumindest auf 
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einige der auf den personlichen Speichereinrichtungen gespeicherten Personendaten 
eben in Abhangigkeit von einer insbesondere entsprechenden Berechtigungs- und/oder 
Authentizitatserkennung ggf. in einer zugehorigen PrQfstufe zum Schreiben und/oder 
Lesen zugegriffen werden kann. 

Filr die bereits weiter oben angegebene besonders einfache Berechtigungsuberprufung 
ist vorgesehen, daB die Zugriffsgerate Geratekennungen aufweisen, die von den Be- 
rechtigungsprufeinrichtungen zur PrOfung einer Berechtigungs- und/oder Authentizi- 
tatserkennung ggf. zur Erfullung einer insbesondere ersten PrOfstufe erfaBbar sind, und 
daB die Geratekennung vorzugsweise durch eine in zumindest ein Zugriffsgerat ein- 
gebbare Anwenderkennung aktivierbar ist. 

Das System kann besonders kostengunstig und einfach aufgebaut werden, wenn zum 
Ansteuern der Zugriffsgerate herkSmmliche Rechnereinrichtungen, wie PCs, vorgese- 
hen sind. Weiterhin wird ein gunstiger Aufbau des erfindungsgemaBen Personendaten- 
Archivierungssystems dadurch gefdrdert, daB die Zugriffsgerate entsprechend den 
Formaten von die Speichereinrichtungen aufnehmenden DatentrSgem Kartenlesegera- 
te fur z.B. Magnetstreifen- Oder Chipkarten. Diskettenlaufwerke fQr z.B. magnetische, 
magneto-optische Oder optische Disketten. CD-ROM-Laufwerke und/oder Aufnahmen 
fQr PCMCIA-Einheiten enthalten, wie sie insbesondere weitverbreitet angeboten wer- 
den. Ein Sicherheitsrisiko entsteht dadurch nicht, da die Datensicherheit durch die Be- 
rechtigungsprQfeinrichtungen gewahrleistet wird. Ferner kfinnen herkommliche Rech- 
nereinrichtungen, einschliefilich wenigstens Bildschirm, Tastatur und Drucker, kosten- 
gunstig als Anzeige- und Ein-/Ausgabegerate von Daten vorgesehen werden. 

Eine besonders effiziente, sichere und zuverlassige Ausgestaltung der Zugriffsgerate 
sowie ein entsprechender Betrieb des Systems nach der Erfindung besteht darin, daB 
zumindest zwei Zugriffsgerate zur Zusammenschaltung von entsprechenden Datentra- 
gern der Speichereinrichtungen insbesondere zu einem GesamtgerSt kombiniert sind 
und diese Zusammenschaltung von den Berechtigungsprufeinrichtungen zum Berechti 
gungsnachweis oder ggf. als eine erste PrQfstufe erfaBbar ist. Beispielsweise kann ein 



WO 96/08755 



PCT/EP95/03597 



-20-* 

kombiniertes Zugriffsgerat fur eine Prozessor-Chipkarte und einen Massenspeicher als 
Bestandteile der Speichereinrichtungen vorgesehen werden. Die Berechtigungspru- 
feinrichtungen kOnnen hierbei besonders einfach realisiert werden, da die Schaltung 
test vorgegeben sein kann. Insbesondere konnen die Sicherheitseinrichtungen in Form • 
der Berechtigungsprufeinrichtungen unabhangig vom Betriebssystem eines zur Steue- 
rung, Bedienung und Auswertung verwendeten Rechners betrieben werden. Vor allem 
bei dieser Ausfuhrungsform, aber grundsatzlich auch jeder anderen geeigneten Gestal- 
tung der Erfindung, kann besonders einfach und effizient eine Zugriffsgeratekennung 
zum Datenschutz eingesetzt werden. 

Zunachst kann dabei eine Autorisierung des Benutzers erfotgen. Es wird nur dann ein 
Zugriff auf das Speichermedium erlaubt, wenn das verwendete Zugriffsgerat, das ein 
geeignetes Lautwerk sein kann, insbesondere fur zwei Datentrager, wie z.B. eine Pro- 
zessor-Chipkarte und eine Minidisk, mit einer Kennung ausgestattet ist. Dadurch wird 
gewahrleistet, daB nur entsprechend ausgerustete Zugriffsgerate, die auch nur fur ein- 
zelne Datentrager ausgelegt sein kdnnen, fQr Schreib- und/oder Leseoperationen be- 
nutzl werden kbnnen, was sicherstellt, daB nur dafur autorisierte Einrichtungen Zugang 
zu den Daten der Speichereinrichtungen erhalten. 

Bei einem Ausfuhrungsbeispiel der Erfindung haben zur Datensicherung sowohl das 
Lesegerat einer Prozessor-Chipkarte als auch das Laufwerk einer Diskette je eine Ken- 
nung. Dabei ist die Diskette nur lesbar, wenn die Lesegeratekennung die Prozessorkar- 
te autorisiert und gleichzeitig die Laufwerkskennung die Diskette autorisiert und gleich- 
zeitig die Prozessorkarte die Diskette freigibt. 

Femer kann bereits Qber die Zugriffsgeratekennung jeglicher Zugriff auf die Daten der 
Speichereinrichtungen dokumentiert werden. Dies wiirde in der Weise erfolgen, dali bei 
Verwendung des Zugriffsgerats, wie eines einzelnen Oder fur mehrere Speichervorrich- 
tungen kombinierten Lautwerks, die entsprechende Kennung als Stempel an einem 
dafQr vorgesehenen Speicherplatz z.B. auf der Prozessor-Chipkarte als Teil der Spei- 
chereinrichtungen hinterlassen wird. 
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SchlieBlich ist Qber die aufgezeichnete Zugriffsgeratekennung eine Identifikation des 
Benutzers moglich. Damit kann nachgewiesen werden, in welcher Arztpraxis oder in 
welchem Rettungswagen auf die Daten der Speichereinrichtungen zugegriffen wurde. 
Durch entsprechende MaBnahmen, wie z.B. turnusmaBiger Wechsel der Kennung, 
kann damit auch fur die Authentifikation des Benutzers gesorgt werden. 

Damit ein sicherheitstechnisch zwar nicht zu furchtender, informationstechnisch jedoch 
auBerst unangenehmer Datentragerverlust sich nicht negativ auf die Datenarchivierung 
auswirkt, sollten von alien Datentragern Sicherungskopien erstellt und aufbewahrt wer- 
den. Bevorzugtsind die Zugriffsgerate ausgelegt, ohne Berechtigungsnachweis Oder 
ggf. in einer ersten Priifstufe Sicherungskopien der transportablen, persdnlichen Spei- 
chereinrichtungen zu erstellen. Besondere SicherheitsmaBnahmen sind dabei deshalb 
nicht zu beachten, da fur den Zugriff auf Kopien der Speichereinrichtungen dieselben 
MaBgaben gelten, wie fur die Originate. 

Fur einen bevorzugten Einsatz des erfindungsgemaBen Personendaten-Archivierungs- 
system sind gewisse Anpassungen an die Handhabung von Patientendaten vorteilhaft, 
wie z.B., daB das System zum Speichem und Aufbewahren von Patientendaten, ein- 
schlieBlich schriftlicher und graphischer Unteriagen, beim Inhaber ausgelegt ist. DafUr 
kann das System geeignete Eingabemedien, wie einen Scanner enthalten. 

Vorzugsweise enthait der erste Teil der Speichereinrichtungen einen Notfalldatenspei- 
cherbereich. in dem Verwaltungsdaten und die Daten eines Notfallausweises. eines 
Organspendeausweises, Notfalltestaments u.a. des Inhabers speicherbar sind. Ein Zu- 
griff auf diese Daten sollte durch die BerechtigungsprUfeinrichtungen frei oder mit nur 
einer Arzt- oder Rettungsdienstkennung, die vorzugsweise Qber eine spezielle Arzt- 
oder Rettungsdienstkarte oder eine ArzWRettungsdienst-Zugriffsgeratekennung in die 
BerechtigungsprUfeinrichtungen eingebbar ist, oder mit nur einer Inhaberkennung frei- 
gebbar sein. 
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Werterhin ist es bevorzugt, daR der erste Teil der Speichereinrichtungen einen Ober- 
sichtsdatenspeicherbereich enthait, in dem eine Auflistung wichtiger anamnestischer 
Daten, einschlieRlich einer ggf. erfolgten Verabreichung von Btut Oder Blutprodukten 
und eine Dokumentation wichtiger Gesundhetts-/Krankheitsdaten t einschlieSlich Aller- 
gie-, Irnpf-, Rbntgen-, Schrittmacher-, Diabetiker-, Medikamentendaten u.a., analog ei- 
ner Srztlichen Patientenkarte gespeichert werden kann. Zusatzlich zu den vorstehen- 
den im Zusammenhang mit den Notfalldaten angegebenen Zugriffsberechtigungen 
kann hier noch ein Zugriff durch Krankenkassen mittels einer entsprechenden Kennung 
vorgesehen sein. 

Alle diese Zugriffsrechte kbnnen ferner fur einen im ersten Teil der Speichereinrichtun- 
gen enthaltenen Behandlungsdatenspeicherbereich, in dem ein vorgegebener zeitlicher 
Rahmen und eine vorgegebene inhaltliche Struktur von Vorsorgeuntersuchungen sowie 
Untersuchungen im Rahmen der Nachsorge chronischer und/oder bosartiger Erkran- 
kungen speicherbar sind, und fur einen optionalen oder zus&tzlichen Nachweisdaten- 
speicherbereich eingestellt sein, der im ersten Teil der Speichereinrichtungen enthalten 
ist und in dem zumindest eine vorgebbare Anzahl und/oder Art von Zugriffen auf die 
Speichereinrichtungen insbesondere einschlie&lich der jeweils erfolgten vorzugsweise 
individuellen Berechtigungs- und/oder AuthentizitStserkennung und vorgenommenen 
Zugriffsart im einzelnen speicherbar ist. 

Eine vorzugsweise Gestaltung des ersten Teils der Speichereinrichtungen kann einen 
Dokumentationsbereich enthalten, in dem die im Laufe des Lebens des Inhabers der 
Speichereinrichtungen anfallenden relevanten Gesundheits-/Krankheitsdaten ein- 
schlieBlich Anamnese, Diagnosen, Befunde wie Labor-, Blutdruckwerte, etc. speicher- 
bar sind. 

Eine vorzugsweise Gestaltung des zweiten Teils der Speichereinrichtungen kann einen 
Dokumentationsbereich enthalten, in dem alle Originalunterlagen von Arztberichten, 
Zeugnissen, Rontgen-, Ultraschall-, Computertomographie-, Endoskopieabbildungen 
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usw., Biosignale, wie EKG- und EEG-Daten etc., direkt oder als Graphiken u.a. spei- 
cherbar sind. 

Ein Zugriff auf die vorgenannten Dokumentationsbereiche ist zumindest soweit durch 
die Berechtigungsprufeinrichtungen einzeln Oder in Kombination mit einer Arztkennung, 
welche vorzugsweise Ober eine spezielle Arztkarte oder eine Arzt-Zugriffsge- 
ratekennung in die Berechtigungsprufeinrichtungen eingebbar ist, mit einer Inhaber- 
kennung und/oder einer Krankenkassenkennung freigebbar. 

Auch der zweite Teil der Speichereinrichtungen kann bei einer bevorzugten Ausgestal- 
tung einen Nachweisdatenspeicherbereich enthalten, der grundsatzlich genauso funk- 
tioniert, wie der Nachweisdatenspeicherbereich im ersten Teil der Speichereinrichtun- 
gen. Eine vorteilhafte Weiterbildung davon besteht darin, dad der Nachweisdatenspei- 
cherbereich im ersten Teil der Speichereinrichtungen schieberegisterartig aufgebaut ist, 
so daB sein aitester Inhatt zur insbesondere endgilltigen Abspeicherung in den Nach- 
weisdatenspeicherbereich des zweiten Teils der Speichereinrichtungen zur Platzschaf- 
fung fur einen Neueintrag im Nachweisdatenspeicherbereich im ersten Teil der Spei- 
chereinrichtungen Platz verschiebbar ist. Damit k6nnen die Nachweisdaten jederzeit 
gespeichert werden. Es kann insbesondere auch bei anderen Einsatzgebieten des per- 
sOnlichen Archivierungssystems nach der Erfindung vorgesehen werden, da& nur die 
letzten etwa drei bis funf Zugriffsinformationen gespeichert bleiben und Sltere Zugriffs- 
informationen geiascht werden. 

Vorteilhafterweise kann eine bereits bestehende und bei der BevOlkerung eingefiihrte 
Karte, wie eine Krankenversicherungskarte, ein Personalausweis oder eine Kontokarte, 
die Speichereinrichtungen des erfindungsgemSBen Personendaten-Archivierungssy- 
stems ganz oder teilweise aufnehmen. 

Fur eine weitere ErhOhung der Sicherhe'rt der archivierten Daten ist es bevorzugt, daft 
mittels den BerechtigungsprOfeinrtchtungen ein insbesondere turnusmaBiger Ken- 
nungswechsel einer Anwender- und/oder Geratekennung zur Berechtigungs- und/oder 
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Authentizitatserkennung berticksichtigt werden kann. Dabei wird vorzugsweise mittels 
den BerechtigungsprQfeinrichtungen eine Authentizitats- und/oder BerechtigungsprQ- 
fung von Anwender, Zugriffsgeraten und/oder Speichereinrichtungen fiir einen beab- 
sichtigten Zugriff durchgefQhrt. 

Die Verwendungsmoglichkeit der Daten im Personendaten-Archivierungssystem nach 
der Erfindung wird weiter dadurch optimiert, da& die Speichereinrichtungen eine Mehr- 
zahl von Bereichen enthalten, denen unterschiedliche Zugriffssicherungen, wie Pass- 
worter, PINs o.a. zugeordnet werden k6nnen. 

Ein besonderer weiterer Schutz kann bei der Erfindung vorteilhaft fur Schreibzugriffe 
vorgesehen sein, indem Speicherungen von neuen Oder geanderten Daten auf die 
Speichereinrichtungen dort nur nach Eingabe einer Signatur zusammen mit dieser ab- 
speicherbar sind, und daS letztere vorzugsweise durch eine Anwender- und/oder Zu- 
griffsgeratekennung insbesondere automatisch erzeugt wird. 

Nachfolgend werden einige weitere bevorzugte AusfUhrungsformen angegeben, die 
sich aus verschiedenen Merkmalskombinationen der Unteranspriiche ergeben. 

Beispieisweise als Patientenkarte kann eine Prozessor-Chipkarte Verwendung finden, 
die sowohl zumindest einen Teil der BerechtigungsprQfeinrichtungen in Form des Pro- 
zessors als auch einen ersten Teil der Speichereinrichtungen auf dem Chip enthalt, um 
ein Patientendaten-Archivierungssystem zu realisieren. Mit einer derartigen Prozessor- 
Chipkarte kann der Informationsaustausch im Medizinbereich verbessert werden. In 
erster Linie dientdie Prozessor-Chipkarte dabei als Kontroll- und Sicherheitselement, 
und die Speicherfunktion ist insbesondere auf Grund der Qblicherweise geringen Spei- 
cherkapazitat solcher Karten zweitrangig. Das erfindungsgemafte System enthalt daher 
neben der Karte einen mobilen eigentlichen Datenspeicher, wofur sich beispieisweise 
eine magneto-optische Platte in Form einer 2,5-Zoll-Diskette eignet. Diese Datentrager 
, sind so klein und handlich wie eine Chipkarte, verfugen aber uber eine Speicherkapazi- 
tat von beispieisweise 140 Megabyte und sind wiederbeschreibbar. 
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Die durch die Erfindung geschaffene Sicherheit wird technologisch durch die Kombina- 
tion der Prozessor-Chipkarte mit einem bezuglich dieser externen Massendatenspei- 
cher erreicht. Der Zugriff zu dem Massendatenspeicher erfolgt ausschlie&lich Qber die 
Prozessor-Chipkarte mit ihren Sicherheitseinrichtungen zur Berechtigungsprufung und 
Zugriffsfreigabe. Dam'rt sind die Daten z.B. auf der magneto-optischen Platte in gleicher 
Weise geschutzt, als ob sie auf der Prozessor-Chipkarte selbst abgelegt waren. 

Somit hat ein Patient in dieser Zeit der zunehmenden medizinischen Aufsplittung mehr 
als nur einen medizinischen Ausweis und wird in die Lage versetzt, seine relevanten 
Krankheitsdaten selbst komplett zu dokumentieren, urn sie dann beispielsweise dem 
jeweils behandelnden Arzt oder seiner Versicherung zur Verfugung stellen zu konnen. 
Die durch die Erfindung somit allgemein mogliche umfassende personliche und insbe- 
sondere medizinische Datensammlung in der Hand des Patienten tragt zu einer Ver- 
besserung des Informationsaustausches z.B. zwischen den Arzten bei. Gleichzeitig ist 
sie, urn beim Beispiel des Patientendaten-Archivierungssystems zu bleiben, ein Instru- 
ment zur Qualitatssicherung der arztlichen Leistung und dient einer gahzheitlichen Be- 
treuung des Patienten. Die Vermeidung von Datenverlusten z.B. bei einem Arztwechsel 
fQhrt zu einer Reduzierung der erforderlichen Untersuchungen und damit zu einer Ent- 
lastung, gesundheitsmaBig beim Patienten und kostenmafiig bei den Krankenkassen. 

Eine Datensammlung uber die Krankengeschichte darf sich aber nicht in einer Aufli- 
stung von anamnestischen Daten, Diagnosen oder durchgefuhrten Untersuchungen 
erschSpfen. Jeder weiterbehandelnde Arzt mochte. zumindest die kompletten Arzt- und 
Krankenhausberichte einsehen, und haufig will er verstandlicherweise auch nicht dar- 
auf verzichten, die Originalaufzeichnungen und -befunde betrachten zu konnen. Eine 
solche umfassende Datensammlung ware aber auf einer herkommlichen Prozessor- 
Chipkarte alleine nicht realisierbar, sondem nur in Kombination mit einem typischen 
Datenspeicher, fflr den es ohne die Erfindung keinen ausreichenden Datenschutz ga- 
be. 
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In Fortfuhrung des vorbeschriebenen Ausfuhrungsbeispiels kann die Prozessor-Chip- 
karte zunachst als Notfall-Ausweis fungieren. Neben den typischen Notfalldaten kann 
der entsprechende Speicherteil bei Interesse audi als zum Speichern eines Organ- 
spendeausweises oder NotfalKestaments eingesetzt werden. Mogliche Zugriffsregelun- - 
gen hierfOr wurden bereits welter oben beschrieben. Durch die Mitwirkung des Inhabers 
Qber einen Zugriffsschlussel, wie ein Passwort oder eine PIN wird daraus eine umfas- 
sende Ausweiskarte mit den wesentlichen medizinischen (oder bei anderen Anwen- 
dungsfailen Finanz-, Versicherungs-, "Kleingeldguthaben-") Basisdaten. Zusammen mit 
dem z.B. elektronischen Massenspeichermedium fUr die Komplettdaten erhait der Pati- 
ent eine vollstandige Sammlung von wichtigen Krankheitsdaten, wobei die Arztberichte. 
Bilder (beispielsweise Rfintgen- und Ultraschallbiider) und Biosignale (EKG u.a.) im 
Original vorliegen. Aus praktischen Uberlegungen kann die Mitwirkung des Patienten 
bei der Zugriffefreigabe fQr einen Arzt P der sich z.B. neben seinem Kartenlesegerat und 
seinem Laufwerk fur die BerechtigungsprUfeinrichtungen beispielsweise mit einer 
Arztkarte identifiziert hat, darauf beschrankt werden, dad auf der Prozessor-Chipkarte 
ein Foto des Patienten den Karteninhaber ausweist. 

Es kann ferner eine automatisch arbeitende Einrichtung vorgesehen sein, die dafQr 
sorgt, dad der Speicher einer gefullten Prozessor-Chipkarte durch Auslagern von Daten 
auf z.B. eine zugeharige MO-Platte wieder zum Aufnehmen weiterer neuer Daten bereit 
ist. 

Weiterhin ist bei der AusfQhrung mit der Prozessor-Chipkarte als Kontroll- und Sicher- 
heitsinstrument eine Ausstattung mit einem Coprozessor moglich, durch den fur das 
Sicherheitskonzept eine Authentifikation von Terminal, Karte und Benutzer sowie eine 
Dokumentation Qberjeden Zugriff auf die abgelegten Daten erfolgen kann. 

Als Berechtigungsprufeinrichtungen und deren Prufmittel sind insbesondere Prozes- 
soreinrichtungen vorzugsweise auf einem Teil der oder allgemein den Speichereinrich- 
tungen und/oder aber in einem Steuerrechner oder Zugriffsgerat und geeignete Pro- 
gramme bzw. Zugriffsgerate-, Speichereinrichtungs-, Inhaber- und Anwenderkennun- 
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gen zu nennen. Die Sicherung kann beispielsweise ferner auch oder zusatzlich dadurch 
erreicht werden, dad die Kennungen getrennter Speichervomchtungen und insbeson- 
dere DatentrSger kombiniert werden mtlssen, urn auf geschQtzte Daten zugreifen zu 
konnen. Femer kdnnen die Daten direkt in lauffahigen Programmdateien enthalten 
sein, deren Aufruf von bestimmten Kennungen abhdngt. Der erfindungsgema&e 
Grundschutz wird aber dadurch erreicht, daB ein Zugriff vom Prufergebnis der Berech- 
tigungsprufeinrichtungen abhangt. 

Das erfindungsgema&e System kann zwar z.B. eine Arztkartei schon wegen der beste- 
henden Dokumentationspflicht nicht ersetzen. Die Erfindung schafft aber eine wichtige 
ErgSnzungsmoglichkeit beispielsweise zur Arztkartei, da durch das Patientendaten- 
Archivierungssystem sSmtliche relevanten Daten vollstandig, unverfaischt und unmittel- 
bar zur VerfQgung stehen. FQr die digitate Archivierung spricht ferner, daS zahlreiche 
Daten bereits jetzt, zumindest aber kOnftig, von vornherein in digitaler Form vorliegen, 
wie RSntgenbilder, Ultraschallaufnahmen, EKG, EEG, Arzberichte usw. 

Weitere vorteilhafte und bevorzugte Ausgestaltungen der Erfindung ergeben sich durch 
die AnsprOche und deren Kombinationen. 

Nachfolgend werden Einzelheiten der Erfindung unter Bezugnahme auf die Zeichnun- 
gen nSher angegeben, in denen: 

Figur 1 eine schematische Darstellung von Systemkomponenten eines Personendaten- 
Archivierungssystems zeigt, 

Figuren 2a - 2c tabellarische Darstellungen mOglicher Aufteilungen der Speichereinrich- 
tungen sind, und 

Figur 3 ein Blockschaltbild des Aufbaus von Figur 1 ist. 
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ln den Figureh 1 und 3 ist ein Personendaten-Archivierungssystem 1 gezeigt. Das Sy- 
stem 1 enthalt transportable oder mobile, persdnliche Speichereinrichtungen 2 zum 
Speichem und Aufbewahren von Personendaten beim Inhaber. Die Speichereinrich- 
tungen enthalten erste und zweite getrennte Datentrager 8 und 9, die einzelne Spei- 
chervorrichtungen als ersten und zweiten Teil 6 bzw. 7 der Speichereinrichtungen 2 
bilden. 

Zum Zugreifen auf die einzelnen Datentrager 8, 9 ist ein Zugriffsgerat 12 gezeigt, das 
ein kombiniertes Lesegerat und Laufwerk fur die beiden Datentrager 8, 9 darstellt Fer- 
ner ist das Zugriffsgerat 12 auch ausgelegt, eine Berechtigungskarte 13 zu lesen. 

Der erste Datentrager 6 ist eine Prozessor-Chipkarte und dient sowohl zur Speicherung 
kleinerer Datenmengen, beispielsweise eines Notfallausweises, von Obersichtsdaten 
und/oder Behandlungsdaten des Inhabers und von Nachweisdaten erfolgter Speicher- 
zugriffe, als auch als Bestandteil von BerechtigungsprQfeinrichtungen 3, wofur die Pro- 
zessoreinrichtungen 10 der Karte eingesetzt werden. Wie insbesondere der Figur 3 
deutlich zu entnehmen ist, sind im Zugriffsgerat 12 weitere Prozessoreinrichtungen 10 
vorgesehen, die ebenfalls Bestandteil der BerechtigungsprQfeinrichtungen 3 zur Fest- 
stellung einer Zugriffsberechtigung sind. 

Der zweite Datentrager 7 ist eine magneto-optische Platte und ermoglicht so eine Spei- 
cherung groBer Datenmengen zur Speicherung von Detaildaten. Aufierdem ist durch 
die Prozessoreinrichtungen 10 eine Steuerung vorgesehen, urn zu vermeiden, daft die 
Prozessor-Chipkarte speichermaBig voll ist und keine weiteren Daten mehr aufnehmen 
kann, wofur Daten von der Prozessor-Chipkarte immer wieder auf die magneto-opti- 
sche Platte ausgelagert werden. 

Die den Speichereinrichtungen 2 zugeordneten BerechtigungsprQfeinrichtungen 3 die- 
nen der Datensicherheit, da sie dafur sorgen, daB nur in Abhangigkeit von einer positi- 
ven Berechtigungs- und/oder Authentizitatserkennung ein Zugriff auf zumindest einige 
der auf den persbnlichen Speichereinrichtungen 2 gespeicherten Personendaten frei- 



WO 96/08755 



PCT/EP95/03597 



-29- * 

gegeben werden kann. Bei dem gezeigten Ausfuhrungsbeispiel sind hierfiir die einzel- 
nen Prozessoreinrichtungen 10 und spater noch genauer angegebene Kennungen zu- 
standig. 

Die Berechtigungsprufeinrichtungen 3 des gezeigten Ausfuhrungsbeispiels sind so 
ausgefuhrt, dad sie einen tumusma&iger Kennungswechsel einer Anwender- und/oder 
Geratekennung zur Berechtigungs- und/oder Authentizitatserkennung berucksichtigen 
und eine Authentizitats- und/oder Berechtigungsprufung von Anwender, Zugriffsgeraten 
und Speichereinrichtungen 2 fur einen beabsichtigten Zugriff durchfilhren. Weiterhin 
k6nnen Schreibzugriffe auf die Speichereinrichtungen 2 dort nur nach Eingabe einer 
Signatur zusammen mit dieser abgespeichert werden, wobei diese Signatur durch eine 
Anwender- bzw. Zugriffsgeratekennung automatisch unter Nutzung des RSA-Verfah- 
rens erzeugt wird. 

Das gezeigte Archivierungssystem 1 ist so ausgelegt, daB nur in Verbindung mit dem 
ersten Teil 6 der Speichereinrichtungen 2 auf den zweiten Teil 7 der Speichereinrich- 
tungen 2 zugegriffen werden kann. Es sind auch mehrere verschiedene Prfif- bzw. Be- 
rechtigungsstufen vorgesehen, urn den Zugriff auf verschiedene Datenbereiche zu re- 
geln. 

In einer ersten Prufstufe wird nur eine Lesegeratekennung Qberprtlft, urn einen Zugriff 
auf Notfalldaten zuzulassen. In dieser oder einer heheren Prufstufe kann eventuell eine 
Berechtigungskarte fur den Zugriff auf Daten erforderlich sein, die eine Obersicht uber 
weitere persenliche Daten des Inhabers der Chipkarte geben. Eine weitere Prufstufe 
kann dadurch realisiert werden, daB auf die auf dem zweiten Teil 7 der personlichen 
Speichereinrichtungen 2 gespeicherten Personendaten, wie Detaildaten, nur in Abhan- 
gigkett von einer pos'rtiven Berechtigungs- und/oder Authentizitatserkennung mittels der 
BerechtigungsprQfeinrichtungen 3 zugreifbar ist. Eine solche Kennung kann z.B. fol- 
gende Informationen alleine oder kombiniert berilcksichtigen: eine Lesegeratekennung, 
eine Laufwerkskennung, eine Datentragerkennung, eine Anwenderkennung, eine In- 
haberkennung. Insbesondere die beiden letzteren kbnnen auch durch PINs 
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(persSnliche Identifizierungsnummern) oder Geheimzahlen o.a. realisiert werden, wobei 
verschiedene Eingaben zu unterschiedlichen Berechtigungsstufen fiihren konnen. Die 
einzelnen Prilfstufen der Berechtigungspriifeinrichtungen 3 konnen beispielsweise auch 
dafur genutzt werden, urn fur Schreib- und Lesezugriffe jeweils unterschiedliche Be- 
rechtigungen zu vergeben. 

Im Zusammenhang mit dem Kartenlesegerat wird durch die Berechtigungsprufeinrich- 
tungen 3 die Authentiz'rtat der Prozessor-Chipkarte Qberpruft. Dabei kdnnen z.B. ge- 
falschte Karten abgewiesen werden. Ebenso wird anhand der Prozessor-Chipkarte 
m'rttels der Berechtigungsprufeinrichtungen 3 eine Oberpriifung des Kartenlesegerats 
durchgefuhrt, so daB nicht autorisierte Lesegerate Qberhaupt keinen Zugriff auf die 
Daten der Prozessor-Chipkarte und auch des Massenspeichers erhalten. Eine ahnliche 
gegenseitige AutorisierungsQberprufung kann auch fur die magneto-optische Platte und 
das entsprechende Laufwerk vorgesehen sein. 

Im einzelnen werden die Identifikationsmerkmale des Kartenlesegerats (z.B. Unikat-Nr.) 
und des Laufwerks ftlr die magneto-optische Platte erfa&t (z.B. Laufwerkkennung) er- 
faBf und die entsprechenden Daten auf oder in dem Speicher der Prozessor-Chipkarte 
gespeichert, sobald das Lesegerat oder das Laufwerk auf gespeicherte Daten zugreift. 
Sollte die Kapazitat des entsprechenden Speichers auf der Prozessor-Chipkarte nicht 
ausreichen, werden altere Daten auf die MO-Platte ausgelagert oder geldscht. Durch 
eine Erfassung der Benutzeridentifikation (Anwender- und Inhaberkennungen) wird ge- 
trennt fQr die Prozessor-Chipkarte und die MO-Platte jeglicher Zugriff auf die gespei- 
cherten Daten erfaBt. Alternativ oder auch erganzend zu anderen Identifikationsmerk- 
malen, wie der Lesegeratekennung oder einer Benutzerkennung. kann eine Berechti- 
gungskarte zur Autorisierungspriifung benotigte Daten bereitstellen, die den Benutzer 
ausweisen und ebenfalls gespeichert werden k6nnen, urn dort, wo verschiedene Be- 
nutzer auf das gleiche Kartenlesegerat zugreifen, wie z.B. in einem Rettungswagen, 
eine einfache, schnelle und sichere Berechtigungserkennung zu ermoglichen. 
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Die umfangreichen Daten auf dem zweiten Teil 7 der Speichereinrichtungen 2, also 
beispielsweise Bilddaten auf der MO-Platte, konnen nur dann gelesen werden, wenn 
ein Benutzer beispielsweise uber entsprechende Programmteile verfQgt, was aber erst 
nach positiver Authentizitatsprufung moglich ist. 

Als weiteren Sicherheitsaspekt enthalt das Zugriffsgerat 12 in dem gezeigten Beispiel 
Kryptoeinrichtungen 1 1 , die fur eine Entschliisselung und Verschliisselung bei Lese- 
bzw. Schreibzugriffen auf die Teile 6 und 7 der Speichereinrichtungen 2 sorgen und 
beispielsweise zur Bearbeitung von groBen Datenmengen zumindest einen als Copro- 
zessor ausgelegten Kryptoprozessor enthalten. Die Kryptoeinrichtungen 1 1 sind den 
Speichereinrichtungen 2 vorgeschaltet und werden betriebsmaBig mittels der Berechti- 
gungspriifeinrichtungen 3 zur Bearbeitung von Zugriffen auf die Speichereinrichtungen 
2 freigegeben. Die zwischen einzelnen Speichervorrichtungen bzw. deren Zugriffsein- 
richtungen 12 und den Rechnereinrichtungen 14 transferierten Daten werden durch die 
Kryptoeinheit ent- bzw. verschlusselt, wobei letztere ebenfalls erst nach positiv ausge- 
fallener AuthentizitatsprQfung in Funktion tritt. Beim Aufruf einer Datei auf der MO- 
Platte wird diese automatisch entschliisselt. Umgekehrt erfolgt eine automatische Ver- 
schlDsselung einer Datei, wenn sie auf die MO-Platte geschrieben wird. Die entspre- 
chenden Dateinamen sind beim System 1 ohne die Freigabe durch die Berechtigungs- 
prufeinrichtungen 3 nicht lesbar und auf der Prozessor-Chipkarte hinterlegt. Die hohe 
Datentransferrate kann durch die eigenstandige Kryptoeinheit bewaltigt werden. 

Der erste Teil der Speichereinrichtungen 2 bzw. die erste Speichervorrichtung 6 ist 
nicht auf die vorbeschriebenen AusfQhrung beschrankt, sondern kann eine magneti- 
sche, magnetc-optische Oder optische Speicherflache oder ein Speicherchip insbeson- 
dere auf oder in einer vorzugsweise etwa scheckkartengrofien Kunststoffkarte als Da- 
tentrager 8 sein. Ebenfalls ist die Ausgestaltung des zweiten Teils der Speichereinrich- 
tungen 2 bzw. der zweiten Speichervorrichtung 7 nicht auf eine magneto-optische Plat- 
te beschrankt, sondem kann jeglicher elektronische. magnetische, magneto-optische 
■ oder optische Massenspeicher insbesondere in Form einer 2.5 oder 3,5 Zoll gro&en 
Diskette oder einer PCMCIA-Einheit als Datentrager 9 sein. 
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Die Speichereinrichtungen 2 sind jeweils durch ein zum Hinzufugen und/oder Andern 
von Personendaten wiederbeschreibbares Speichermedium 4, 5 entsprechend den 
Datentragern 8, 9 gebildet. Fur bestimmte Anwendungszwecke sind wenigstens Teile 
der beiden beschreibbaren Speichermedien 4, 5 schreibgeschutzt Oder schreibschutz- 
bar. Hierdurch kdnnen beispielsweise unveranderliche Eintragungen vor versehentli- 
chen Oberschreibungen geschQtzt werden. Auch Bereiche des Speichermediums 5 des 
zweiten Datentragers konnen aus dem gleichen Grund schreibgeschQtzt Oder schreib- 
schQtzbar sein, urn z.B. nachtrSgliche Anderungen in der Zugriffedokumentation auszu- 
schlie&en. 

Die Prozessoreinrichtungen 10 erfQIIen neben ihrer Aufgabe zur Berechtigungsuberpru- 
fung noch die Steuerung von zumindest Teilen der Speichereinrichtungen 2 und/oder 
die wenigstens teilweise Steuerung von Zugriffen auf letztere. 

Nicht gesondert gezeigt sind Kopierschutzeinrichtungen, Druckausgabeschutzeinrich- 
tungen und Ausgabebeschrankungseinrichtungen, die ein unenvUnschtes Kopieren, 
Drucken oder andersartiges Ausgeben von den Speichereinrichtungen 2 entnommenen 
Daten verhindern, wenn diese entsprechenden Einrichtungen nicht durch einen geeig- 
nete Berechtigungsnachweis den Berechtigungsprufeinrichtungen gegenuber neutrali- 
siert, d.h. abgeschaltet sind. 

Statt des Oder zusatzlich zum gezeigten Zugriffegerat 12 k&nnen fur die einzelnen Da- 
tentrager 8 und 9 sowie die Berechtigungskarte 1.3 gesonderte Zugriffsgerate vorgese- 
hen sein, beispielsweise persdnliche, mobile und/oder stationare Zugriffsgerate. Das 
Zugriffsgerat 12 ist sowohl fur die Prozessor-Chipkarte als auch die magneto-optische 
Platte in Minidisk-Form fur einen Schreib- und/oder Lesezugriff ausgelegt. 

Jedes einsetzbare Zugriffsgerat 12 enthalt zweckmaBigerweise entsprechend den 
Formaten von die Speichereinrichtungen 2 aufnehmenden Datentragern Kartenlesege- 
rate ftir z.B. Magnetstreifen- oder Chipkarten, Diskettenlaufwerice fur z.B. magnetische, 
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magneto-optische Oder optische Disketten, CD-ROM-Laufwerke und/oder Aufnahmen 
fur PCMCIA-Einhe'rten. Auch bei getrennter AusfQhrung der Zugriffsgerate 12 fQr die 
ersten und zweiten Teile 6, 7 der Speichereinrichtungen 2 kOnnen diese Gerate 12 zu- 
sammengeschaltet und Qber diese Zusammenschaltung von den Berechtigungspru- 
feinrichtungen 3 ein entsprechender Berechtigungsnachweis erfaftt werden. 

Zur Erstellung von Sicherungskopien, die bei Veriust der Speichereinrichtungen 2 einen 
vollstandigen Datenverlust verhindern, lassen die Zugriffsgerate 12 direkt Oder die Be- 
rechtigungsprOfeinrichtungen 3 ohne Berechtigungsnachweis eine Erstellung von Si- 
cherungskopien der transportablen, persOnlichen Speichereinrichtungen 2 zu. Hierfur 
kttnnen z.B. fluchtige Speichereinrichtungen in dem entsprechenden Zugriffsgerat 12 
enthalten sein, um Daten zum Kopieren zwischenzuspeichem. 

Wie den Figuren 1 und 3 weiter zu entnehmen ist, ist zum Ansteuern des Zugriffsgerats 
12 eine Rechnereinrichtung 14 in Form eines PCs vorgesehen. Diese Rechnereinrich- 
tungen 14 dienen ferner als Anzeige- und Ein-/Ausgabegerate von Daten sowohl far die 
BerechtigungsprQfeinrichtungen 3 als auch die Speichereinrichtungen 2, um Daten zu 
suchen, auszugeben und einzugeben. 

Das in der Figur 1 dargestellte Zugriffsgerat 12 ist uber eine Leitung mit einer nicht na- 
her bezeichneten eigenen Tastatur und Qber eine weitere Leitung an geeigneten Da- 
tenschnittstellen mit den Rechnereinrichtungen 14 verbunden. Die Rechnertastatur 
und/oder die Zugriffsgeratetastatur kann zum Eingeben von PINs u.a. verwendet wer- 
den konnen. Femer ist das Zugriffsgerat 12 mit nicht naher bezeichneten Displayein- 
richtungen versehen. 

Der erste Datentrager 8 ist gleichzeitig eine Krankenversicherungskarte und das ge- 
samte System 1 dient zur Archivierung von Patientendaten einschlie&lich schriftlicher 
und graphischer Unterlagen beim Inhaber. Jedoch konnen auch andere Daten mit die- 
sem Oder ahnlichen Systemen archiviert werden, wie beispielsweise Finanzdaten, Ver- 
sicherungsdaten, Reisedaten u.v.m. 
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Fur den Anwendungsfall des Patientendaten-Archivierungssystems ist in den Figuren 
2a - 2c tabellarisch eine Speicherorganisation dargestellt Die Figur 2a zeigt die Orga- 
nisationsstruktur der beiden Datentrager, die Figur 2b gibt AufschluB Uber den Inhatt 
der enthaltenen Notfallkarte und die Figur 2c erlSutert den Inhalt der patientenkarte, 
wobei die verschiedenen Speicherbereiche direkt bezeichnet sind, so daB keine weite- 
ren Eriauterungen zu ihrem Verstandnis erforderlich sind. In der Praxis kdnnen einzelne 
Felder und Eintrage Qber die Rechnereinrichtungen 14 mittels Menu- oder Fenster- 
technik aufgerufen werden. 

Wenn vorstehend auf ein Patientendaten-Archivierungssystem, Patientendaten und 
allgemein den Medizinbereich Bezug genommen wurde, so ist dies nur exemplarisch zu 
verstehen. Die Erfindung betrifft ein Personendaten-Archivierungssystem, das durch 
die in den Anspruchen angegebenen Merkmale und Merkmalskombinationen bestimmt 
und nicht auf einzelne AusfQhrungsbeispiele der Beschreibung beschrSnkt ist. So kdn- 
nen z.B. mehr als zwei (separate) Speichereinrichtungsteile vorgesehen sein f wobei 
beispielsweise eine einzige Prozessorkarte m'rt mehreren MO-Piatten fur je ein eigenes 
Sachgebiet zusammenarbeiten kann. Insbesondere sind alle durch die Merkmalsformu- 
lierungen in den Anspruchen enthaltenen Ausfuhrungsmoglichkeiten der Erfindung oh- 
ne Einschrankungen und mit den dem Fachmann gelaufigen Modifikationen und Siibsti- 
tutionen im Umfang der Erfindung abgedeckt. 



WO 96/08755 



PCT/EP95/03597 



-35- 

Bezugszeichenliste 



1 Personendaten-Archivierungssystem 

2 Speichereinrichtungen 

3 Berechtigungspriifeinrichtungen 
4 $ 5 Speichermedium 

6 erster Teil der Speichereinrichtungen 

7 zweiter Teil der Speichereinrichtungen 
8, 9 erste und zweite DatentrSger 

I o prozessoreinrichtungen 

I I Kryptoeinrichtungen 
12 Zugriffsgerate 

! 3 Berechtigungskarte, Arzt- oder Rettungsdienstkarte 

14 Rechnereinrichtungen 
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Anspruche 

Personendaten-Archivierungssystem mittransportablen, persdnlichen Spei- 
chereinrichtungen zum Speichern und Aufbewahren von Personendaten beim 
Inhaber, 

dadurch gekennzeichnet, 

da& den Speichereinrichtungen (2) Berechtigungspriifeinrichtungen (3) zugeord- 
net sind, mittels denen nur in Abhangigkeit von einer positiven Berechtigungs- 
und/oder Authentizitatserkennung ein Zugriff auf zumindest einige der auf den 
persbnlichen Speichereinrichtungen (2) gespeicherten Personendaten freigebbar 
ist. 

Personendaten-Archivierungssystem nach Anspruch 1, 

dadurch gekennzeichnet, 
daB mittels den BerechtigungsprQfeinrichtungen (3) eine Mehrzahl von PrQfstu- 
fen ausfQhrbar ist. 

Personendaten-Archivierungssystem nach Anspruch 1 oder 2, 

dadurch gekennzeichnet, 
daB zumindest ein Teil der Speichereinrichtungen (2) durch ein zum Hinzufugen 
und/oder Andern von Personendaten beschreibbares und insbesondere wieder- 
beschreibbares Speichermedium (4 t 5) gebildet ist. 

Personendaten-Archivierungssystem nach Anspruch 3, 

dadurch gekennzeichnet, 
da& die BerechtigungsprQfeinrichtungen (3) zum Freigeben eines Lese- und/oder 
Schreibzugriffs auf das beschreibbare Speichermedium (4, 5) in Abhangigkeit 
von einer insbesondere entsprechenden Berechtigungs- und/oder Authentizi- 
tatserkennung ggf. in einer zugehorigen Priifstufe ausgelegt sind. 

Personendaten-Archivierungssystem nach Anspruch 3 Oder 4, 
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dadurch gekennzeichnet, 

daS zumindest ein Teil des beschreibbaren Speichermediums (4, 5) schreibge- 
schutzt oder schreibschUtzbar ist. 

Personendaten-Archivierungssystem nach einem der vorhergehenden AnsprQ- 
che, 

dadurch gekennzeichnet, 

da& die Speichereinrichtungen (2) einen ersten Teil (6) und zumindest einen 
zweiten Teil (7) mit insbesondere unterschiedlichen Speicherkapazitaten enthal- 
ten. 

Personendaten-Archivierungssystem nach Anspruch 6, 

dadurch gekennzeichnet, 
daS der erste, insbesondere kapaz'rtatsmaftig kleinste Teil (6) der Speicherein- 
richtungen (2) ein Ausweis-, Identifikations- oder Stammdatenspeicherteil ist. 

Personendaten-Archivierungssystem nach Anspruch 6 oder 7, 

dadurch gekennzeichnet 
da& auf die auf dem ersten Teil (6) der persdnlichen Speichereinrichtungen (2) 
gespeicherten Personendaten, wie Ausweis-, Identifikations- oder Stammdaten, 
unabhangig von den BerechtigungsprQfeinrichtungen (3) oder mit einer positiven 
Berechtigungs- und/oder Authentizitatserkennung in einer ersten Priifstufe der 
BerechtigungsprQfeinrichtungen (3) zugreifbar ist. 

Personendaten-Archivierungssystem nach einem der Anspruche 6 bis 8, 

dadurch gekennzeichnet, 
da& nur in Verbindung mit wenigstens dem ersten Teil (6) der Speichereinrich- 
tungen (2) auf den zumindest einen zweiten Teil (7) der Speichereinrichtungen 
(2) zugreifbar ist. 

Personendaten-Archivierungssystem nach einem der Anspruche 6 bis 9, 
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dadurch gekennzeichnet, 

daB der zweite, relativ zum ersten Teil (6) kapazitatsma&ig gro&ere Teil (7) der 
Speichereinrichtungen (2) ein Detaildatenspeicherteil ist. 

5 11. Personendaten-Archivierungssystem nach einem der Anspruche 6 bis 1 0, 

dadurch gekennzeichnet, 
da& auf die auf dem zweiten Teil (7) der persdnlichen Speichereinrichtungen (2) 
gespeicherten Personendaten, wie Detaildaten, nur in Abhflngigkeit von einer 
positiven Berechtigungs- und/oder Authentizitatserkennung ggf. in einer zweiten 

10 Priifstufe mittels der Berechtigungsprufeinrichtungen (3) zugreifbar ist. 

12. Personendaten-Archivierungssystem nach einem der AnsprQche 6 bis 1 1 , 

dadurch gekennzeichnet, 
dad die wenigstens ersten und zweiten Teile der Speichereinrichtungen (2) 
1$ durch separate erste bzw. zweite Speichervorrichtungen (6, 7) insbesondere auf 

verschiedenen ersten bzw. zweiten Datentragem (8, 9) gebildet sind. 



13. Personendaten-Archivierungssystem nach einem der Anspriiche 6 bis 12, 

dadurch gekennzeichnet, 
20 dad der erste Teil der Speichereinrichtungen (2) bzw. die erste Speichervorrich- 

tung (6) eine magnetische, magneto-optische oder optische Speicherflache Oder 
ein Speicherchip insbesondere auf oder in einer vorzugsweise etwa scheckkar- 
tengro&en Kunststoffkarte als Datentrager (8) ist. 

2s 14. Personendaten-Archivierungssystem nach einem der Anspruche 6 bis 1 3, 

dadurch gekennzeichnet 
da& der zweite Teil der Speichereinrichtungen (2) bzw. die zweite Speichervor- 
richtung (7) ein elektronischer, magnetischer, magneto-optischer oder optischer 
Massenspeicher insbesondere in Form einer 2,5 oder 3,5 Zoll gro&en Diskette 

» oder einer PCMCIA-Einhe'rt als Datentrager (9) ist. 
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1 5. Persohendaten-Archivierungssystem nach einem der vorhergehenden Ansprii- 
che, 

dadurch gekennzeichnet, 

daB zumindest einem Teil der Speichereinrichtungen (2) zugeordnete und/oder 
vorzugsweise wenigstens einen Teil der Berechtigungsprflfeinrichtungen (3) bil- 
dende Prozessoreinrichtungen (10) vorgesehen sind, die vorzugsweise auf dem 
Datentrager (8), wie z.B. einer Kunststoffkarte. angeordnet sind und insbesonde- 
re einen Prozessor enthalten. 

1 6. Personendaten-Archivierungssystem nach den Anspruchen 1 3 und 1 5, 

dadurch gekennzeichnet, 
da& die Prozessoreinrichtungen (10) zur Steuerung von zumindest Teilen der 
Speichereinrichtungen (2) und/oder zur wenigstens teitweisen Steuerung von 
Zugriffen auf letztere und/oder zumindest als Teil der Berechtigungsprufeinrich- 
tungen (3) ausgelegt sind. 

1 7. Personendaten-Archivierungssystem nach einem der vorhergehenden Anspru- 
che, 

dadurch gekennzeichnet, 

da& den Speichereinrichtungen (2) Kryptoeinrichtungen (11) vorgeschaltet sind, 
deren Betrieb insbesondere mittels der BerechtigungsprOfeinrichtungen (3) zur 
Bearbeitung von Zugriffen auf die Speichereinrichtungen (2) freigebbar ist. 

1 8. Personendaten-Archivierungssystem nach Anspruch 1 5 Oder 1 6 und Anspruch 
17, 

dadurch gekennzeichnet, 

da& die Kryptoeinrichtungen (1 1) in den Prozessoreinrichtungen (10) enthalten 
sind und vorzugsweise einen Kryptoprozessor aufweisen. 

19. Personendaten-Archivierungssystem nach einem der vorhergehenden AnsprO- 
che, 
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dadurch gekennzeichnet, 

daB Kopierschutzeinrichtungen vorgesehen sind, mittels denen ein Speichern 
von zumindest einigen Daten, die auf den persfinlichen Speichereinrichtungen 
(2), insbesondere ggf. deren zweiten Teil (7), gespeichert sind. auf bezuglich 
letzteren externen Speichern unterbindbar ist und/oder ein Speichern von zu- 
mindest einigen Daten, die auf dem ersten Teil (6) der Speichereinrichtungen (2) 
gespeichert sind, auf bezuglich letzteren externen Speichern zulatlbar sind. 

Personendaten-Archivierungssystem nach einem der vorhergehenden AnsprG- 
che, 

dadurch gekennzeichnet, 

daft Druckausgabeschutzeinrichtungen vorgesehen sind, mittels denen eine 
Druckausgabe von zumindest einigen Daten unterbindbar ist, die auf den per- 
sdnlichen Speichereinrichtungen (2), insbesondere ggf. deren zweiten Teil (7), 
gespeichert sind und/oder ein Drucken von zumindest einigen Daten zulaBbar 
ist, die auf dem ersten Teil (6) der Speichereinrichtungen (2) gespeichert sind. 

Personendaten-Archivierungssystem nach einem der vorhergehenden Anspru- 
che, 

dadurch gekennzeichnet, 

daB AusgabebeschrSnkungseinrichtungen vorgesehen sind, mittels denen eine 
Ausgabe von zumindest einigen Daten, die auf den personlichen Speicherein- 
richtungen (2), insbesondere ggf. deren zweiten Teil (7), gespeichert sind, auf 
mehr als ein Ausgabemedium z.B. eines Rechners, wie zusatzliche Bildschirme 
des Rechners Oder eine Netzwerkkarte des Rechners zur Verbindung mit weite- 
ren extern angeordneten Rechnem, unterbindbar ist. 

Personendaten-Archivierungssystem nach einem der Anspriiche 19 bis 21, 

dadurch gekennzeichnet, 
dad die Kopierschutzeinrichtungen, Druckausgabeschutzeinrichtungen und/oder 
Ausgabebeschrankungseinrichtungen mittels der Berechtigungsprufeinrichtun- 
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gen (3) durch eine entsprechende positive Berechtigungs- und/oder Authentizi- 
tatserkennung ggf. in einer zugehbrigen Prufstufe neutralisierbar sind. 

23. Personendaten-Archivierungssystem nach einem der vorhergehenden AnsprO- 
che, 

dadurch gekennzeichnet, 

daB die BerechtigungsprOfeinrichtungen (3) ausgelegt sind, Geratekennungen 
von Zugriffsgeraten (12) fur die Handhabung der Speichereinrichtungen (2) in ei- 
ne PrOfung zur Berechtigungs- und/oder Authentizitatserkennung ggf. zur ErfOI- 
lung einer insbesondere ersten Prufstufe einzubeziehen. 

24. Personendaten-Archivierungssystem nach einem der vorhergehenden Ansprii- 
che, 

dadurch gekennzeichnet, 

daB die persenlichen Speichereinrichtungen (2) Kennungen aufweisen, die von 
den BerechtigungsprOfeinrichtungen (3) in eine Prufung zur Berechtigungs- 
und/oder Authentizitatserkennung ggf. zur ErfOllung einer insbesondere ersten 
Prufstufe einbeziehbar sind. 



25. 



Personendaten-Archivierungssystem nach einem der vorhergehenden AnsprO- 
che, 

dadurch gekennzeichnet, 
daB die BerechtigungsprOfeinrichtungen (3) ausgelegt sind, Benutzer- und/oder 
inhaberidentifikationen von zumindest einem Anwender bzw. dem inhaber, des- 
sen Daten in den Speichereinrichtungen (2) archiviert sind, in eine PrOfung zur 
Berechtigungs- und/oder Authentizitatserkennung ggf. zur ErfOllung einer insbe- 
sondere zweiten PrOfstufe und ggf. weiterer PrOfstufen zur Freigabe eines Zu- 
griffs auf zumindest einige der auf den persbnlichen Speichereinrichtungen (2) 
gespeicherten Personendaten einzubeziehen. 

26. Personendaten-Archivierungssystem nach Anspruch 25. 
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dadurch gekennzeichnet, 

daG die Berechtigungsprufeinrichtungen (3) ausgelegt sind, eine Anwenderken- 
nung, wie eine Benutzer- bzw. Inhaberidentifikation uber manuelle und/oder 
elektronische Eingaben, wie beispielsweise von einer Berechtigungskarte (13), 
durchzufuhren. 

Personendaten-Archivierungssystem nach einem der vorhergehenden Ansprii- 
che, 

dadurch gekennzeichnet, 

daB durch die Berechtigungsprufeinrichtungen (3) zugelassene Zugriffe auf den 
Speichereinrichtungen (2) mit den dafur relevanten Daten, wie Geratekennungen 
von Zugriffsgeraten (12) und/oder Benutzer- und/oder Inhaberidentifikationen, 
insbesondere auf den Speichereinrichtungen (2) selbst dokumentierbar sind! 

Personendaten-Archivierungssystem nach einem der vorhergehenden Anspru- 
che, 

dadurch gekennzeichnet, 

dafi persdnliche Zugriffegerate (12) vorgesehen sind, mittels denen vom Inhaber, 
dessen Daten in den Speichereinrichtungen (2) archiviert sind, und/oder von 
Anwendern der Speichereinrichtungen (2) in Abhangigkeit von einer insbesonde- 
re entsprechenden Berechtigungs- und/oder Authentizitatserkennung ggf. in ei- 
ner zugehfirigen Prufstufe auf zumindest einige der archivierten Daten zum 
Zweck der Information, DatenanderungAerganzung und/oder Weitergabe auch 
Qber DatenfemQbertragung zugreifbar ist. 

Personendaten-Archivierungssystem nach einem der vorhergehenden Ansprii- 
che, 

dadurch gekennzeichnet, 

daG mobile und/oder stationare Zugriffegerate (12) vorgesehen sind, mittels de- 
nen von Anwendern in Abhangigkeit von einer insbesondere entsprechenden 
Berechtigungs- und/oder Authentizitatserkennung ggf. in einer zugehdrigen 
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Priifstufe auf zumindest einige der archivierten Daten zum Zweck der Information 
und/oder DatenanderungAerganzung zugreifbar ist. 

30. Personendaten-Archivierungssystem nach Anspruch 28 oder 29, 

dadurch gekennzeichnet, 
daB die Zugriffsgerate (12) fur einen Schreib- und/oder Lesezugriff zumindest 
auf einige der auf den personlichen Speichereinrichtungen (2) gespeicherten 
Personendaten in Abhangigkeit von einer insbesondere entsprechenden Be- 
rechtigungs- und/oder Authentizitatserkennung ggf. in einer zugehdrigen Prufstu- 
fe ausgelegt sind. 

3 1 . Personendaten-Archivierungssystem nach einem der Anspriiche 28 bis 30, 

dadurch gekennzeichnet, 
daB die Zugriffsgerate (12) Geratekennungen aufweisen, die von den Berechti- 
gungsprufeinrichtungen (3) zur Priifung einer Berechtigungs- und/oder Authen- 
tizitatserkennung ggf. zur Erfullung einer insbesondere ersten PrOfstufe erfaBbar 
sind, und daB die Geratekennung vorzugsweise durch eine in zumindest ein Zu- 
griffsgerat (12) eingebbare Anwenderkennung aktivierbar ist. 

32. Personendaten-Archivierungssystem nach einem der Anspriiche 28 bis 31 , 

dadurch gekennzeichnet 

daB zum Ansteuem der Zugriffsgerate (12) herkSmmliche Rechnereinrichtungen 

(14) vorgesehen sind. 

33. Personendaten-Archivierungssystem nach einem der Anspriiche 28 bis 32. 

dadurch gekennzeichnet, 
daB die Zugriffsgerate (12) entsprechend den Formaten von die Speichereinrich- 
tungen (2) aufnehmenden Datentragem Kartenlesegerate fur z.B. Magnetstrei- 
fen-oderChipkarten, Diskettenlaufwerke ftir z.B. magnetische, magneto- 
optische oder optische Disketten, CD-ROM-Laufwerke und/oder Aufnahmen ftir 
PCMCIA-Einheiten enthalten. 
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34. Personendaten-Archivierungssystem nach einem der Ansprtiche 28 bis 33, 

dadurch gekennzeichnet, 
daB zumindest zwei Zugriffsgerate (12) zur Zusammenschaltung von entspre- 
chenden Datentragern (8, 9) der Speichereinrichtungen (2) kombiniert sind und 
diese Zusammenschaltung von den Berechtigungsprufeinrichtungen (3) zum Be- 
rechtigungsnachweis oder ggf. als eine erste Prtifstufe erfaBbar ist. 

35. Personendaten-Archivierungssystem nach einem der Ansprtiche 28 bis 34, 

dadurch gekennzeichnet, 
daB die Zugriffsgerate (12) ausgelegt sind, ohne Berechtigungsnachweis oder 
ggf. in einer ersten Prtifstufe Sicherungskopien der transportablen, personlichen 
Speichereinrichtungen (2) zu erstellen. 

36. Personendaten-Archivierungssystem nach einem der vorhergehenden Ansprti- 
che, 

dadurch gekennzeichnet, 

daB herkommliche Rechnereinrichtungen (14) als Anzeige- und Ein-/Ausgabege- 
rate von Daten vorgesehen sind. 

37. Personendaten-Archivierungssystem nach einem der vorhergehenden Ansprti- 
che, 

dadurch gekennzeichnet, 

daB es zum Speichem und Aufbewahren von Patientendaten, einschlieBlich 
schriftlicher und graphischer Unteriagen, beim Inhaber ausgelegt ist. 

38. Personendaten-Archivierungssystem nach den Ansprtichen 6 und 37, 

dadurch gekennzeichnet, 
daB der erste Teil (6) der Speichereinrichtungen (2) einen Notfalldatenspeicher- 
bereich enthalt, in dem Verwaltungsdaten und die Daten eines Notfallausweises, 
eines Organspendeausweises, Notfalltestaments u.a. des Inhabers speicherbar 
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sind und auf den ein Zugriff zumindest soweit durch die Berechtigungsprufein- 
richtungen (3) frei oder mit nur einer Arzt- Oder Rettungsdienstkennung, die vor- 
zugsweise Qber eine spezielle Arzt- oder Rettungsdienstkarte (13) oder eine 
ArzWRettungsdienst-Zugriffsgeratekennung in die Berechtigungsprufeinrichtun- 
gen (3) eingebbar ist, oder mit nur einer Inhaberkennung freigebbar ist. 

39. Personendaten-Archivierungssystem nach den Anspriichen 6 und 37 oder An- 
spruch 38, 

dadurch gekennzeichnet, 

dad der erste Teil (6) der Speichereinrichtungen (2) einen Obersichtsdatenspei- 
cherbereich enthalt, in dem eine Auflistung wichtiger anamnestischer Daten, ein- 
schlieBlich einer ggf. erfolgten Verabreichung von Blut oder Blutprodukten und 
eine Dokumentation wichtiger Gesundherts-ZKrankheitsdaten, einschlie&lich All- 
ergie-, Impf-. Rdntgen-, Schrittmacher-. Diabetiker-, Medikamentendaten u.a., 
analog einer arztlichen Patientenkarte speicherbar sind und auf den ein Zugriff 
zumindest soweit durch die Berechtigungsprtlfeinrichtungen (3) frei oder einzeln 
oder in Kombination mit einer Arzt- oder Rettungsdienstkennung, die vorzugs- 
weise Qber eine spezielle Arzt- oder Rettungsdienstkarte (13) oder eine Arzt- 
/Rettungsdienst-Zugriffsgeratekennung in die Berechtigungsprufeinrichtungen (3) 
eingebbar ist, mit einer Inhaberkennung und/oder einer Krankenkassenkennung 
freigebbar ist. 

40. Personendaten-Archivierungssystem nach den Anspriichen 6 und 37 oder An- 
spruch 38 oder 39, 

dadurch gekennzeichnet, 

da& der erste Teil (6) der Speichereinrichtungen (2) einen Behandlungsdaten- 
speicherbereich enthalt, in dem ein vorgegebener zeitlicher Rahmen und eine 
vorgegebene inhaltliche Struktur von Vorsorgeuntersuchungen sowie Untersu- 
chungen im Rahmen der Nachsorge chronischer und/oder bOsartiger Erkrankun- 
gen speicherbar sind und auf den ein Zugriff zumindest soweit durch die Berech- 
tigungsprufeinrichtungen (3) einzeln oder in Kombination mit einer Arztkennung. 
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die vorzugsweise uber eine spezielle Arztkarte (13) Oder eine Arzt- 
Zugriffsgeratekennung in die Berechtigungspriifeinrichtungen (3) eingebbar ist, 
mit einer Inhaberkennung und/oder einer Krankenkassenkennung freigebbar ist. 

s 41 . Personendaten-Archivierungssystem nach den Ansprilchen 6 und 37 Oder einem 
der Anspruche 38 bis 40, 

dadurch gekennzeichnet, 
dad der erste Teil (6) der Speichereinrichtungen (2) einen Nachweisdatenspei- 
cherbereich enthait, in dem zumindest eine vorgebbare Anzahl und/oder Art von 

10 Zugriffen auf die Speichereinrichtungen (2) insbesondere einschliettlich der je- 

weils erfolgten vorzugsweise individuellen Berechtigungs- und/oder Authentizi- 
tatserkennung und vorgenommenen Zugriffeart im einzelnen speicherbar ist und 
auf den ein Zugriff zumindest soweit durch die Berechtigungsprufeinrichtungen 
(3) einzeln Oder in Kombination mit einer Arztkennung, die vorzugsweise uber 

is eine spezielle Arztkarte (1 3) Oder eine Arzt-Zugriffsgeratekennung in die Berech- 

tigungsprOfeinrichtungen (3) eingebbar ist, mit einer Inhaberkennung und/oder 
einer Krankenkassenkennung freigebbar ist. 



42. Personendaten-Archivierungssystem nach den Anspriichen 6 und 37 Oder einem 

20 der Ansprtiche 38 bis 41 , 

dadurch gekennzeichnet, 
daB der zweite Teil (7) der Speichereinrichtungen (2) einen Dokumentationsbe- 
reich enthait, in dem alle Originalunterlagen von Arztberichten, Zeugnissen, 
Rontgen-, Ultraschall-, Computertomographjeabbildungen usw., Biosignale, wie 

25 EKG- und EEG-Daten etc., direkt oder als Graphiken u.a. speicherbar sind und 

auf den ein Zugriff zumindest soweit durch die Berechtigungsprufeinrichtungen 
(3) einzeln oder in Kombination mit einer Arztkennung, die vorzugsweise Ober 
eine spezielle Arztkarte (13) oder eine Arzt-Zugriffsgeratekennung in die Berech- 
tigungsprufeinrichtungen (3) eingebbar ist, mit einer Inhaberkennung und/oder 

» einer Krankenkassenkennung freigebbar ist. 
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43. Personendaten-Archivierungssystem nach den Ansprilchen 6 und 37 oder einem 

der AnsprOche 38 bis 42, 

dadurch gekennzeichnet, 

daB der zweite Teil (7) der Speichereinrichtungen (2) einen Nachweisdatenspei- 
cherbereich enthalt, in dem zumindest eine vorgebbare Anzahi und/oder Art von 
Zugriffen oder alle Zugriffe auf die Speichereinrichtungen (2) insbesondere ein- 
schlieBlich der jeweils erfolgten vorzugsweise individuellen Berechtigungs- 
und/oder Authentizitatserkennung und vorgenommenen Zugriffsart im einzelnen 
speicherbar ist und auf den ein Zugriff zumindest soweit durch die Berechti- 
gungsprtlfeinrichtungen (3) einzeln oder in Kombination mit einer Arztkennung. 
die vorzugsweise uber eine spezielle Arztkarte (1 3) oder eine Arzt- 
Zugriffsgeratekennung in die Berechtigungsprilfeinrichtungen (3) eingebbar ist, 
mit einer Inhaberkennung und/oder einer Krankenkassenkennung freigebbar ist. 

„ 44. Peisonendaten-Archivierungssystem nach den Ansprilchen 41 und 43, 

dadurch gekennzeichnet, 
daB der Nachweisdatenspeicherbereich im ersten Teil (6) der Speichereinrich- 
tungen (2) schieberegisterartig aufgebaut ist, so daB sein attester Inhalt zur ins- 
besondere endgQItigen Abspeicherung in den Nachweisdatenspeicherbereich 
des zweiten Teils (7) der Speichereinrichtungen (2) zur Platzschaffung fur einen 
Neueintrag im Nachweisdatenspeicherbereich im ersten Teil (6) der Spei- 
chereinrichtungen (2) Platzverschiebbarist. 

45. Personendaten-Archivierungssystem nach einem der vorhergehenden Ansprii- 
* che, 

dadurch gekennzeichnet, 

daB die Speichereinrichtungen (2) ganz oder teilweise Bestandteil einer Kran- 
kenversicherungskarte, eines Personalausweises oder einer Kontokarte sind. 



jo 46. 



Personendaten-Archivierungssystem nach einem der vorhergehenden Ansprii 
che, 
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dadurch gekennzeichnet, 

dad mittels den Berechtigungsprufeinrichtungen (3) ein insbesondere tumus- 
madiger Kennungswechsei einer Anwender- und/oder Geratekennung zur Be- 
rechtigungs- und/oder Authentizitatserkennung berOcksichtigbar ist 

5 

47. Personendaten-Archivierungssystem nach einem der vorhergehenden Ansprii- 
che, 

dadurch gekennzeichnet, 

dad mittels den Berechtigungsprufeinrichtungen (3) eine Authentizitats- und/oder 
io Berechtigungsprilfung von Anwender, Zugriffegeraten (12) und/oder Spei- 

chereinrichtungen (2) fOr einen beabsichtigten Zugriff durchfuhrbar ist. 

48. Personendaten-Archivierungssystem nach einem der vorhergehenden Anspru- 
che, 

« dadurch gekennzeichnet, 

dad die Speichereinrichtungen (2) eine Mehrzahl von Bereichen enthalten, de- 
nen unterschiedliche Zugriffssicherungen, wie Passworter, PINs, Berechtigungs- 
karten (13) o.£. zuordenbarsind. 

20 49. Personendaten-Archivierungssystem nach einem der vorhergehenden Anspru- 
che, 

dadurch gekennzeichnet 

dad Schreibzugriffe auf die Speichereinrichtungen (2) dort nur nach Eingabe ei- 
ner Signatur zusammen mit dieser abspeicherbar sind, und dad letztere vor- 
25 zugsweise durch eine Anwender- und/oder Zugriffsgeratekennung insbesondere 

automatisch erzeugbar ist. 



WO 96/08755 



PCT/EP95/03597 




WO 96/08755 PCT/EP95/03597 

2/5 



o Prozessor-Chipkarte 



o Datenspeicher 



o Notfallkarte: 



o Texte 



o Personliche Angaben 
O Im Notfall zu verstandigen 
O Behandelnde Arzle 
O Unbedingt beachten 
O Blutgruppe 
O Organspendeausweis 
o Patiententestament 

o Patientenkarte: 

O Anamnese-Datensatz 
O Diagnostik-Datensatz 
O Labor-Datensatz 
O Ausweise 
O Dauerdiagnosen 
O Dauemnedikation 
O Vorsorge-Datensatz 
O Nachsorgedatensatz 
O Datensatz fur 
Gesundheitsprogramme 



O Biider 

O Biosignale 

o Labordaten 

O Dokumentation und 
Planung von 

Vorsorgeuntersuchungen, 
Nachsorge von 
chronischen Krankheiten 
oder Tumorleiden 

o Gesundheitsprogramme 



OSoftware 



Figur 2a 
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Prozessor-Chipkarte 



Notfallkarte 



Angaben zur Person: 

Name, Vorname, Geburtsdatum, 
Postleitzahl, Wohnort, StraBe, Te- 
lefon (Keine Angaben zur Kranken- 
i versicherung, KV-Nr. o.fi.) j 

lm Notfall verstandigen: 

Name, Vorname, Postleitzahl, 
Wohnort, StraBe, Telefon (Hinweis 
auf ggf. zus&tzliche und alternative 
Personen) 



Behandeinde Arzte: 

Name, Vorname, Praxisadresse: 
Postleitzahl, Wohnort, StraBe, 
Telefon, Fachrichtung (Hinweis auf 
ggf. zusatzliche Arzte) 



Unbedingt beachten: 

Fur die Notfallversorgung wichti- 
ge Erkrankungen oder Anomali- 
en, z.B. Unvertraglichkeit bzw. 
Allergic auf Medikamente (Medi- 
kamentenname, intemationale 
Kurzbezeichnung der Wirksub- 
stanz, Art der Reaktion), er- 
schwerte Intubation, Narkose- 
zwischenfaile, Cerebrales 
Krampfleiden, Diabetes mellitus, 
Marcumartherapie, Niereninsuf- 
fizienz, Dialysebehandlung, 
Glaukom, Kontaktlinsen, kunstli- 
ches Auge, Herzschrittmacher, 
Situs inversus, Cholinesterase- 
mangel, Porphyrie, Haemophi- 
lie, Sonstiges 



Blutgruppe, Rhesusfaktor: 

Blutgruppe (A, B, 0), Rhesusfaktor 
Rh-pos (D+)/Rh-neg (D-)), Antik6r- 
per 



Organspendeausweis: 

Ich bin Organspender fur Trans- 
plantationen: ja/nein 
lm Falle meines Todes bitte Nach- 
richt geben an: Adresse, Telefon 



Patiententestament: 

Ich bestimme fur den Falle einer 
schweren Erkrankung oder ei- 
nes schweren Unf alls als Aus- 
druck meines Wiltens fur meine 
Familie und meine Arzte folgen- 
dest 

Krmstliche [ ^n^vfrifinqerijna: 
Ich verfQge hiermit, daB mein 
Leben »•• 

Ort, Datum, Signatur 

Rfttrflining^ erf »? uno: 
Folgende Personen sind be- 
rechtigt, von den behandelnden 
Arzten detaillierte Auskunfte 
uber meinen Gesundheitszu- 
stand sowie uber diagnostische 
und therapeutische MaBnamen 
einzuholen. FQr diesen Perso- 
nenkreis entbinde ich die be- 
handelnden Arzte ausdrucklich 
von ihrer Schweigepflicht: 
Name, Adresse, Telefon 
Ich ermachtige fur den Fall, daB 
ich nicht ansprechbar oder nicht 
zurechnungsfahig bin, folgende 
Personen fur mich im Sinne des 
Betreuungsgesetzes und im 
Einklang mit meinem Patienten- 
testament zu handeln und die 
Einwilligung zu medizinisch not- 
wendigen MaBnamen und Ein- 
griffen zu geben oder zu verwei- 
gem: Name, Adresse, Telefon 

Ort, Datum, Unterschrift 



Figur 2b 
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Prozessor-Chipkarte 



Patientenkarte 



Anamnese: 



Jahr/Krankhett bzw. Operation 
ggf. lCD-Schlussel 
Abiage auf digitalen Speicher 
(z.B. auf MD-Data) 




Dauermedikation: 

Nur Medikamente, die uber einen lange- 
ren Ze'rtraum einzunehmen sind: Han- 
delsname, internationals Kurzbezeich- 
nung fur den Wirkstoff , verordnete Dosis 
(aus Datenbank des Programms) 



Vorsorgeuntersuchungert 

Dokumentation uber Vorsorgeuntersu- 
chungen bei Kindem, Schwangeren, 
Krebs-Fruherkennungsuntersuchungen, 
Gesundheitsuntersuchungen (Check-Up) 



Diagnostik: 

Laboruntersuchungen (Datum, unter- 
suchte Substanz m'rt MeBeinheit, Er- 
gebnis), Sonographic, Rdntgen, Com- 
puter-Tomographie, Magnet-Resonan- 
z-Tomographie, Fundus-Photographie, 
EKG, EEG, Spirometrie, Bodyple- 
thysmographie, Sonstiges, Angaben 
der Untersuchung, untersuchte Korper- 
region, Abiage auf digitalen Speicher 
(z.B. auf MD-Data) 



Ausweise: 

Impf ausweis, Aliergieausweis (Allergie 
auf Inhalationsstoffe, Nahrungsmittel, 
Kontaktstoffe und Arzneimittel), Diabeti- 
kerausweis, Blutdruckausweis, Ausweis 
uber eine Antikoagulantienbehandlung 
(Marcumar), Schrittmacher-Ausweis, 
Ausweis uber die Verabreichung von 
Blut und Blutprodukten 



Dauerdiagnose: 

Nur Diagnosen von Krankheiten mit ei- 
nem chronischen oder langwierigen Ver- 
lauf: Diagnosen, ICD-Schlussel (aus Da- 
tenbank der Software) 



Nachsorge Tumorleiderx 

Dokumentation entsprefchender arztli- 
cher Nachsorgeprogramme bei maiignen 
Geschwulsterkrankungen, Nachsorge- 
programme (aus Datenbank der Soft- 
ware) 



Nachsorge chronische 

Krankheiten: 

Dokumentation entsprechender arztli- 
cher Nachsorgeprogramme bet chroni- 
schen Krankheiten wie Hypertonie Oder 
Diabetes mellitus, Nachsorgeprogram- 
me (aus Datenbank der Software) 



Allgemeine 

Gesundheitsprogramme: 

Eine Reihe von Programmen (aus Da- 
tenbank der Software), die insgesamt 
geetgnet sind, die Gesundheit zu erhal- 
ten: z.B. Diatprogramme fur AdipSse, 
Nichtraucherprogramme, spezielle 
Gymnastikprogramme oder Lernpro- 
gramme fur Diabetiker usw. 



Figur 2c 
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Z.B. MAGNETO- 
OPTISCHE PLATTE 










LAUFWERK FUR 
DATENSPEICHER 
MIT LAUFWERKKENNUNG 




10, 11 









PROZESSOR- 
CHIPKARTE 




PROFI- 
KARTE 




kryptoeinhht| |display| 
i datenschnittstelle 



1 1 



PERSONAL-COMPUTER 



14 



KOMBINIERTES 
LAUFWERK-LESEGERAT 




12 



| DATENSCHNITTSTELLE | 




|TASTATUR| |SPEICHER| 



Figur 3 



INTERNATIONAL SEARCH REPORT 



mlen^onal Application No 

PCT/EP 95/03597 



A. CLASSIFICATION OF SUBJECT MATTER 

IPC 6 G06F1/00 G06F19/00 



According to International Patent Classification (IPC) or to both national classification and IPC 



! B. FIELDS SEARCHED 



Minimum documentation searched (classification system followed by classification symbols) 

IPC 6 G06F 



i Documentation searched other than minimum 



documentation to the extent that such documenti are included in the fields 



Electronic data base < 



consulted during the international search (name of data base and, where practical, search terms 



I C DOCUMENTS CONSIDERED TO BE RELEVANT 



Category 1 



Citation of document, with indication, where appropriate, of the relevant passages 



Relevant to ditro No. 



WO, A, 90 12464 (LANG GERALD S) 18 October 
1990 

see page 7, line 4 - page 10, line 1; 
figure 1 

FR,A,2 680 258 (BALLET ERIC ; BALLET GERARD 
(FR)) 12 February 1993 



see abstract; claims 1,5 



1-16 



1-16, 

25-30, 

32-34, 

36,38, 

45,48 



IS 



Further documents are listed m the continuation of boot C 



® 



Patent family members are listed in annex 



* Special categories of cited documents : 



(the general i 



t of the art which is not 



considered to be of particular relevance 
*E" earlier document but published on or after the international 
din g date 

•L* document which may throw doubti on priority daitn(i) or 
which is a ted to establish the publication date of another 
citation or other special reason (as specified) 

•O' document referring to an oral disclosure, use, exhibition or 



T* later document published after the international filing date 
or priority date and not m conflict with the appUcauoo but 
cited to understand the principle or theory underlying the 



*P* document published prior to the international filing date but 
later than the priority date claimed 



invention 

•X* document of particular relevance; the claimed invention 
cannot be considered novel or cannot be considered to 
involve an inventive step when the document is taken alone 

*Y" document of particular relevance; the dinned invention 
cannot be considered to involve an inventive step when the 
doc u me n t is combined with one or more other such docu-_ 
ments, men combmttion being obvious to a person i" '" 
in the art 

*A* document member of the same patent family 



Date of the actual completion of the international search 

17 January 1996 



Date of mailing of the international search report 



0 1.02.95 



Name and mating address of the ISA 

European Patent Office, P.B. 58 IS Patenuaan 2 
NL-ZttOHV Rijswijk 
TeU (-r 31-70) 340.2040, Tx. 31 651 epo nl, 
Fax ( + 31-70) 340-3016 



Authorized officer 



Fournier, C 



Form PCT/iSA/210 (max* thmt) (July 1W2) 



page 1 of 2 



INTERNATIONAL SEARCH REPORT 



Application No 

PCT/EP 95/03597 



C^Cootiniuaco) DOCUMENTS CONSIDERED TO BE RELEVANT 



Category * I Citation of document, with indication, where appropriate, of the lelevant pastaaes 



Relevant to claim No. 



COMPUTERS & SECURITY, JUNE 1985, 
NETHERLANDS, 

vol. 4, no. 2, ISSN 0167-4048, 
pages 123-134, 

HIGHLAND H J Microcomputer security: 
data protection techniques 1 
see page 126, column 2, line 9 - page 127, 
column 2, line 21 

DE,A,42 13 797 (BAVARIA KEDIZIN 
TECHN0LOGIE GM) 28 October 1993 
see page 1, column 1, line 1 - page 3, 
column 1, line 56; claim 1 



1-20 



Foim rCT/lSA/Jlt (BoUwattaa of i 



page 2 of 2 



INTERNATIONAL SEARCH REPORT 

.nforrrufira on panel tsnnly nwmbcrt 



EnMn. .oo«l Appiiertan No 

PCT/EP 95/03597 



Patent document 
cited in teareh report 



Publication 
date 



Patent family 
member(s) 



Publication 
date 



WO-A-9012464 


18-10-90 


CA-A- 
EP-A- 
US-A- 
US-A- 


1329657 
0465571 
5065429 
5191611 


17-05-94 
15-01-92 
12-11-91 
02-03-93 


FR-A-2680258 


12-02-93 


WO-A- 


9303457 


18-02-93 


DE-A-4213797 


28-10-93 


NONE 







Form PCT/1SA/2U (j»tflrt f***i mmi) <i«ly 1M2) 



INTERNATIONALE!* RECHERCHENBERJCHT 



PCT/EP 95/03597 



A. KXASSHTZIERUNG DES ANM ELDUNGSGEGENSTANDES 

IPK 6 G06F1/00 G06F19/00 



Nidi da Ipumtaomlm PmattUailBUtion (IPK) Oder niefa tor Mlicnilcn KUnfitUioa uod dcr tPK 



B. RECHERCHIERTE GEBIETE 



RedwrdBOtcr MiafcitprtifflofT (Kltnifimionnyitan und KJ rrn Qkinonssymbolc ) 

IPK 6 G06F 



Rechcrehierte aber recttt j 



i MtndestpriUstofT aehoeende Vq^Tcntlichungcn. eowdt chew unttx die iccherchierten Gebicte fallen 



Wahrend dcr Internationale* Recherche 



dektraotsche Datcnbank (Nunc der Dasenbank und evti. verwendete Suchbexriffe) 



C. ALS WESSNTUCH ANGESEHENE UNTERLAGEN 



Katexorie' 



Bczdchjnng der Vcrdffentlichuns> sowdt erfarderuch unter Anjabe der in 



Teile 



Bctr. Ansnrucb Nr. 



WO, A, 90 12464 (LANG GERALD S) 18.0ktober 
1990 

siehe Seite 7, Zelle 4 - Seite 10, Zeile 
1; Abbildung 1 

FR.A.2 680 258 (BALLET ERIC ; BALLET GERARD 
(FR)) 12.Februar 1993 



siehe Zusammenfassung; Anspriiche 1,5 

-/- 



1-16 



1-16, 

25-30, 

32-34, 

36,38, 

45,48 



HI 



V I Weitere VerdfTentuchuogen and der Fortsetnmg von Fcld C xu 
A| — tbmen 



0 



Siehe Annan* Patcntfamilic 



Besonderc Kategprien von anfegebenen Veroffenthchimten 
A' VerdtTcntlichunf* die den aUgananen SUnd der Technik defoaert, 

tber mcht alt besaodert bedcutsam anzuaehen in 
'E* Uteres Dokumcnt, das jedoch erst em oder nach dexn internahonalen 

Anmddedaium verdffentlicht warden ist 
X" VcroiTcnaichunt. die tea pet ist, einen Pricwitatxanspruch xweifdhaft cr- 
schdncn zxi tasscn, oder dure* die das Verdffmtlictampdatum emer 
anderen im Recherchenberieht genanntcn VerdlTcnthchu nt bcU gt werden 
toll oder die am cincm anderen beaonderen Grand anfegeben ist (wie 
ausacfOhrt) 

'O* VcrofTentlichmiz. die sich auf cine inundliche Oflcnbarunf, 

one Be mazunav rm* Maflnahmcn beacht 

# P* Veroffccttichungi die vor dem international en Annaeldedatam. aber nach 
dem bearist«wdTten Prioritatadattim veroffenflicht worden ist 



T* Soalere VercWenttichung. die nach dem internanonalcn Anrnddedatum 
ooerdem Prumttsdantm verdffentlicht worden ist und mit der 
AnroelduTtf ttchtkoUidiert, inndem nur zumVerstindms dea der 
Erfinduntzuarimdehcaenden Prmnpe oder der ihr ruarundeiiefendcn 
Theorie angefeben ist _ 

•X* Veroffentlichune. von b e so nderer Bedeunmg; die bcaaspuchtc Erfind 
karei eUem^wlmmd dieser Vcrofrentlichuag nicht all dcu oder auf 
erfoderiachcr Tao§*dt bcruhend betrachtet werden 

"Y" VerofTentlkhuni von besonderer Bcdcu&mc die beansprachtc 
kim mcht all auf erfiDdcrtscher TaQfkett beruhend betrachtet 
werden. wean die Veroffeadichuni nnt ewer oder mehrcren - 
VerofTentlichuncen dieser Kateeone in Verbmduna aebracht 
diesc Vertandunf fur dnen Fachmann nahehegend ist 
Vcrdffertiicfauna> die Mitahed dersdben P alentfaarilk ist 



Datum des Abschhisscs der mtemabonalen Recherche 



17. Jamjar 1996 



des mtema&onalen RechercbenberichQ 



0 1. 02.98 



. md PocUrjKhrin der Internationale Rechercheribehorde 
Europaisches Patentamt, P3. Stlt Patendaan 2 
NL22»)HVRjjswijk 
Td. ( + 31-70) 340-2040. Tx. 3t 651 eponU 
Fax ( + 31-70) 340-3016 



BevoUmidxtifter Bcdiearteter 



Fournier, C 



FotmbUtt PCT/1SA/3II (ftfaa 2) (Ju& IW2) 



Seite 1 von 2 



INTERNATIONALE* RECHERCHENBERICHT 


fattr^a«ul« Atenmchn J 

PCT/EP 95/03597 1 


| C(FocUcamt) ALS WESENTUCH ANGESEHENE UNTERLAGEN 1 


| Katefom" 


BocichWMn der VeroffentiichuQg. iowbt erfordcrtich unter Anjibe in Betncht korameoden Tale 





COMPUTERS & SECURITY, JUNE 1985, 
NETHERLANDS, 

Bd. 4, Nr. 2, ISSN 0167-4048, 
Seiten 123-134, 

HIGHLAND H J 'Microcomputer security: 
data protection techniques' 
siehe Seite 126, Spalte 2, Zeile 9 - Seite 
127, Spalte 2, Zeile 21 

DE,A,42 13 797 (BAVARIA MEDIZIN 
TECHNOLOGIE GM) 28.0ktober 1993 
siehe Seite 1, Spalte 1, Zeile 1 - Seite 
3, Spalte 1, Zeile 56; Anspruch 1 



1-20 



FmMM PCT/ISAflU (Fstmut w. Butt J) tin! l»M) 



Seite 2 von 2 



INTERN ATIONALER RECHERCHENBER1CHT 



i VaSfleoflkbu^a, die i 



PCT/EP 95/03597 



Im Recherchenbcricht 
mgefuhrtet Patentdokuroent 



Datum do 

VerdffenUichung 



MiJgDed(er) der 
. Pnentfamilie 



Datum der 
Vereffcntlkhung 



W0-A-9012464 



FR-A-2680258 



DE-A-4213797 



18-10-90 



CA-A- 
EP-A- 
US-A- 
US-A- 



1329657 
0465571 
5065429 
5191611 



17-05-94 
15-01-92 
12-11-91 
02-03-93 



12-02-93 



W0-A- 9303457 



18-02-93 



28-10-93 



KEINE 



fomHUa PCT/ISA/Jli (Aaaaa* fi m uamU tWM l«J) 



V 



THIS PAGE BLANK (uspto> 



This Page is Inserted by IFW Indexing and Scanning 
Operations and is not part of the Official Record 

BEST AVAILABLE IMAGES 

Defective images within this document are accurate representations of the original 
documents submitted by the applicant. 

Defects in the images include but are not limited to the items checked: 

□ BLACK BORDERS 

□ IMAGE CUT OFF AT TOP, BOTTOM OR SIDES 

□ FADED TEXT OR DRAWING 
J^Tblurred OR ILLEGIBLE TEXT OR DRAWING 

□ SKEWED/SLANTED IMAGES 

□ COLOR OR BLACK AND WHITE PHOTOGRAPHS 

□ GRAY SCALE DOCUMENTS 

□ LINES OR MARKS ON ORIGINAL DOCUMENT 

□ REFERENCE(S) OR EXHIBIT(S) SUBMITTED ARE POOR QUALITY 

□ OTHER: 

IMAGES ARE BEST AVAILABLE COPY. 
As rescanning these documents will not correct the image 
problems checked, please do not report these problems to 
the IFW Image Problem Mailbox. 



THIS PAGE BLANK (uspio> 



